UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE INGENERÍA INDUSTRIAL DEPARTAMENTO ACADÉMICO DE TITULACIÓN
TRABAJO DE TITULACIÓN
PREVIO A LA OBTENCION DEL TÍTULO DE
LICENCIADO EN SISTEMAS DE INFORMACIÓN
ÁREA
REDES Y SEGURIDAD
TEMA
ASEGURAMIENTO Y ENDURECIMIENTO (HARDENING) DE LA INFRAESTRUCTURA DEL
SITIO WEB DE LA CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL.
AUTOR
JOZA CALDERÓN DANNY JOHN
DIRECTOR DEL TRABAJO
ING. CIV. CARVACHE FRANCO ORLY DANIEL, MSC.
2018
GUAYAQUIL – ECUADOR
ii
DECLARACIÓN DE AUTORÍA
“El contenido de este Trabajo de Titulación, son de mi autoría; y la
propiedad intelectual del mismo a la Facultad de Ingeniería Industrial de la
Universidad de Guayaquil”.
Joza Calderón Danny John
C.C: 0925777617
iii
DEDICATORIA
Dedico esta tesis a Dios que ha sido mi guía en este camino de
estudio, quien me ha dado las fuerzas, la voluntad, las ganas para
continuar con mis estudios y llegar a una de mis metas propuestas,
esperando me siga guiando en mi camino.
A mis padres; que, con su amor, confianza, consejos, apoyo y
ayuda que me brindaron con los recursos necesarios para poder continuar
con mis estudios, quienes también me enseñaron la importancia de la
educación y el conocimiento, con todo mi cariño y amor ya que son parte
fundamental para que yo pudiera lograr cumplir mis metas.
iv
AGRADECIMIENTO
Quiero agradecer a Dios por bendecirme y darme la suficiente
fortaleza, sabiduría, conocimiento y capacidad para poder culminar con mi
trabajo de tesis y obtener una meta más en mi vida.
Y agradecer a mis padres por estar pendientes siempre de mí, por
el apoyo incondicional que me han brindado a lo largo de mi vida y de mis
estudios.
v
ÍNDICE GENERAL
N° Descripción Pág.
PRÓLOGO
INTRODUCCIÓN
1
2
CAPÍTULO I
Marco TEÓRICO
N° Descripción Pág.
1.1 OWASP 6
1.2 Riesgos 7
1.3 Los Diez Factores de Riesgo 7
1.3.1 A1-Injection 8
1.3.2 A2-Authentication 9
1.3.3 A3-Cross-Site Scripting (XSS) 9
1.3.4 A4-Broken Access Control 9
1.3.5 A5-Security Misconfiguration 10
1.3.6 A6-Sensitive Data Exposure 10
1.3.7 A7-Insufficient Attack Protection 10
1.3.8 A8-Cross-Site Request Forgery (CSRF) 11
1.3.9 A9-Using Components with Known Vulnerabilities 11
1.3.10 A10-Underprotected APIs 11
1.4 Hardening 12
1.5 Ciberataque 12
1.6 SharePoint 13
1.7 Sitio web 13
1.8 Sistema de Base de Datos 14
1.9 SQL Server 14
vi
N° Descripción Pág.
1.10 Windows Server 2012 15
1.11 Hacking Ético 15
1.12 Vulnerabilidad 15
1.13 Firewall 16
1.14 IPS 16
1.15 IDS 17
1.16 Dirección IP 17
1.17 Proxy Server 17
1.18 Protocolos de red 18
1.19 DMZ 18
1.20 NAT 19
1.21
Auditoria de infraestructura de tecnología de
información basado en estándares y buenas
prácticas
19
1.22 Hardening 21
1.23 Nmap 24
1.23.1 Modelo característico de análisis con Nmap 25
1.24 OWASP Zed Attack proxy (ZAP) 26
1.25 KALI LINUX 27
CAPÍTULO II
METODOLOGÍA
N° Descripción Pág.
2 Modalidad de la Investigación 29
2.1 Tipos de investigación 29
2.2 Método de la Investigación 30
2.3 Población y Muestra 31
2.3.1 Población 31
2.3.2 Muestra 31
2.4 Técnicas e instrumentos de Recopilación de datos 32
vii
N° Descripción Pág.
2.4.1 Técnica de investigación 32
2.4.2 Observación Directa 33
2.4.3 Entrevista 33
2.4.3.1 Ejecución de la entrevista 33
2.4.3.2
Entrevistas al Jefe de Redes y Seguridades de
la Corporación Registro Civil de Guayaquil
34
2.4.3.3
Entrevistas al Técnico operador de Computó de la
Corporación Registro Civil de Guayaquil
35
2.4.3.4
Entrevistas a la Asistente de Monitoreo de la
Corporación Registro Civil de Guayaquil
36
2.4.4 Encuesta 37
2.4.5 Análisis y técnicas de procesamiento de Datos 37
2.5 Diagrama de Casos de Uso 43
2.6
Escenario Actual de las aplicaciones web de la
Corporación Registro Civil de Guayaquil
45
2.6.1 Tipos de Vulnerabilidades Generales 46
2.7
Revisión de vulnerabilidades mediante OWASP
Zed Attack proxy (ZAP)
48
2.8
Pruebas de gestión de configuración de la
infraestructura (OWASP-CM-003)
51
2.9 Pruebas de SSL/TLS (OWASP-CM-001) 51
CAPÍTULO III
PROPUESTA
N° Descripción Pág.
3.1 Título de la Propuesta 52
3.2 Objetivo 52
3.3
Propuesta opciones y recomendaciones de
Hardening
52
3.3.1 Datos 52
viii
N° Descripción Pág.
3.3.2 Página 53
3.3.3 Aplicación 53
3.3.4 Disminución de riesgos de seguridad tipo MIME 54
3.3.5
Aplacamiento del ataque XSS más común
empleando HttpOnly
55
3.3.5.1
Prueba de exploradores Web para soporte
HttpOnly
56
3.3.6 Prueba de atributos de Cookies (OTG-SESS-002) 60
3.3.6.1 Controles de acceso de seguridad 61
3.3.7 Reglas de prevención XXS 61
3.3.7.1
Regla # 0 Nunca implante datos
confidenciales exceptuados en establecimientos
accesibles
62
3.3.7.2
Regla # 1 Escape HTML antes de implantar datos
no confiados en el contenido del componente
HTML
62
3.3.7.3
Regla # 2 Escape de propiedad antes de implantar
datos no confiable en HTML propiedades
frecuentes
63
3.3.7.4
Regla # 3 Escape de JavaScript antes de implantar
datos no confiables en valores de datos
63
3.3.7.5
Regla # 4 CSS Escape riguroso validar antes de
implantar datos no fidedignos en valores de
atributos de estilo HTLML
64
3.3.7.6
Regla # 5 Escape de URL antes de implantar datos
no fidedignos en valores de cuantificación de URL
HTML
64
3.3.7.7
Regla # 6 Gestionar el marcado HTML con un
archivo delineado para el trabajo
65
3.3.8
Actualizar complemento de Silverlight Security
Update
66
ix
N° Descripción Pág.
3.3.9 Parchar Windows Update Security 66
3.3.10
Administrar mejor las actualizaciones de Automatic
Update
66
3.3.11 Solo debe haber un usuario administrador 66
3.3.12
El firewall de Windows no tiene excepciones
esta por default
67
3.3.13
Habilitar el registro de ciertos eventos en el event
view
67
3.3.14 Los servicios no deben estar habilitados por default 67
3.3.15
No debe haber carpetas compartidas en servidores
web
68
3.3.16
No tiene login de dar permiso a los
administradores y usuarios normales
68
3.4 Estudio de factibilidad 68
3.4.1 Factibilidad técnica 69
3.4.2 Factibilidad económica 70
3.4.3 Factibilidad operacional 71
3.4.4 Impacto 72
3.5 Conclusiones 72
3.6 Recomendaciones 73
ANEXOS 74
BIBLIOGRAFÍA 78
x
ÍNDICE DE CUADROS
N° Descripción Pág.
1 Factores de riesgo 8
2 Muestra dpto. de IT de la Corporación Registro
Civil de Guayaquil
32
3
Entrevistas al jefe de redes y Seguridades de la
Corporación Registro Civil de Guayaquil
34
4
Entrevistas al Técnico Operador de Computó de la
Corporación Registro Civil De Guayaquil
35
5
Entrevistas a la Asistente de Monitoreo de la
Corporación Registro Civil De Guayaquil
35
6
Pregunta 1: Encuesta al Personal de
Infraestructura de la Corporación Registro Civil de
Guayaquil
37
7
Pregunta 2: Encuesta al Personal de
Infraestructura de la Corporación Registro Civil de
Guayaquil
38
8
Pregunta 3: Encuesta al Personal de
Infraestructura de la Corporación Registro Civil de
Guayaquil
39
9
Pregunta 4: Encuesta al Personal de
Infraestructura de la Corporación Registro Civil de
Guayaquil
40
10
Pregunta 5: Encuesta al Personal de
Infraestructura de la Corporación Registro Civil de
Guayaquil
41
11
Pregunta 6: Encuesta al Personal de
Infraestructura de la Corporación Registro Civil de
Guayaquil
42
xi
12 Vulnerabilidades generado por MBA 47
13
Resumen De Vulnerabilidades Por Owasp Zed
Attack Proxy (Zap)
49
14 Navegadores que Permiten Httponly 56
15 Características técnicas de ordenador de usuario 69
16 Recursos Humanos 71
xi
ÍNDICE DE GRÁFICOS
N° Descripción Pág.
1 Fragilidad con los Hackers o Individuos mal
Intencionados
38
2 La Información dentro de la Corporación es segura 39
3 Hurto de la Información 40
4 Implementación de Hardening mediante OWASP 41
5 Conocimiento de Owasp 42
6 Utilización del Top 10 de Owasap 43
xii
ÍNDICE DE IMÁGENES
N° Descripción Pág.
1 Análisis con Nmap I 25
2 Análisis con Nmap II 25
3 Reporte de Vulnerabilidades Generado por MBSA I 46
4
Reporte de Vulnerabilidades Generado por MBSA
II
46
5
Reporte de Vulnerabilidades Generado por MBSA
III
47
6 Herramienta Owasp Zed Attack Proxy (Zap) 48
7
Revisión de vulnerabilidades de red scaneo de
puertos
49
8 Fichero Robots.Txt generado mediante WGET 50
9 Reconocimiento mediante motores de búsqueda
(OWASP-IG-002)
50
10 Pruebas De SSL/TLS (OWASP-CM 001) 51
11
Cómo se visualiza el campo X-FRAME-OPTIONS
en una respuesta http
54
12 Disminución de Riesgos de Seguridad Tipo Mime 55
13 Desactivación de Httponly 57
14 Cookie con Éxito Leído con Httponly Apagado 57
15 Cookie Escrito con Éxito con Httponly Off 57
16 Activación de Httponly 58
17 Protección de Lectura de Cookie Forzada 58
18 Protección De Lectura De Cookies No Reforzada 59
19 Protección Contra Escritura De Cookie Forzada 59
xiii
N° Descripción Pág.
20
Protección Contra Escritura De Cookies No
Reforzada
60
21
Regla # 0 Nunca implante datos
confidenciales exceptuados en establecimientos
accesibles
62
22
Regla # 1 Escape HTML antes de implantar datos
no confiados en el contenido del componente
HTML
62
23
Regla # 2 Escape de propiedad antes de implantar
datos no confiable en HTML propiedades
frecuentes
63
24
Regla # 3 Escape de JavaScript antes de implantar
datos no confiables en valores de datos
63
25
Regla # 4 CSS Escape riguroso validar antes de
implantar datos no fidedignos en valores de
atributos de estilo HTLML
64
26
Regla # 5 Escape de URL antes de implantar datos
no fidedignos en valores de cuantificación de URL
HTML
64
27 Regla # 6 Gestionar el marcado HTML con un
archivo delineado para el trabajo
65
xiv
ÍNDICE DE DIAGRAMAS
N° Descripción Pág.
1 Caminos para atacar una aplicación 7
2 Principios de Cobit 5 20
3 Proceso de Hardening 22
4 Análisis Vulnerabilidades 22
5 Remediaciones del Sistema 23
6 Niveles de Profundidad 23
7 Diagrama De Casos De Uso Nº 2 44
8 Diagrama De Casos De Uso Nº 3 44
xv
ÍNDICE DE ANEXOS
N° Descripción Pág.
1 Encuesta 75
2 Cronograma de Actividades 77
xvi
AUTOR: JOZA CALDERÓN DANNY JOHN TEMA: ASEGURAMIENTO Y ENDURECIMIENTO (HARDENING)
DE LA INFRAESTRUCTURA DEL SITIO WEB DE LA CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL.
DIRECTOR: ING. CIV. CARVACHE FRANCO ORLY DANIEL, MSC.
RESUMEN
Actualmente los aplicativos web se han tornado necesarios para la manipulación de la información dentro de una organización, transformándose en un instrumento que permite al usuario ingresar, mediante un navegador y poder agilizar sus labores o poder cubrir su necesidad desde cualquier sitio en donde se encuentre. La Corporación Registro Civil de Guayaquil al ser una entidad pública se ha visto en la necesidad de implantar esquemas libres y programas de código abierto para desarrollar sus procesos y ha desarrollado el aplicativo web utilizando el programa VB.NET con SharePoint, pero no se ha implementado ninguna clase de patrón o buenas prácticas para el fortalecimiento de la aplicación. El actual trabajo de tesis tiene como objetivo implementar en el sitio web de la Corporación Registro Civil de Guayaquil el aseguramiento y hardening empleando las recomendaciones y herramientas de OWASP top 10 para manifestar las debilidades que se presentan en el aplicativo y los peligros de ataques y riesgos que trae consigo el mismo y como este afectaría de manera transcendental la seguridad de la información. PALABRAS CLAVES: OWASP, Hardening, SharePoint, VB.NET,
Aplicativo, Web, Implementar.
Joza Calderón Danny John Ing. Civ. Carvache Franco Orly Daniel, Msc. C.C.:0925777617 Director Del Trabajo
xvii
AUTHOR: JOZA CALDERÓN DANNY JOHN SUBJECT: INSURANCE AND HARDENING OF THE
INFRASTRUCTURE OF THE WEB SITE OF THE CORPORACION REGISTRO CIVIL DE GUAYAQUIL.
DIRECTOR: C.E. CARVACHE FRANCO ORLY DANIEL, MSC.
ABSTRACT Currently the web applications have become necessary for the manipulation of information within an organization, becoming an instrument that allows the user to enter and manipulate a computer system through the internet with a web browser, giving access to information from any site where you are. The Corporacion Registro Civil de Guayaquil to be a public entity is interested in implementing free schemes and open source programs to develop their processes and it has developed the web application using the VB.NET program with SharePoint, but no pattern or good practices have been implemented for strengthening enforcement. This thesis work has as a main objective, the implementation of the insuring and hardening in the Corporacion Registro Civil de Guayaquil in the web site by making use of recommendations and tools of OWASP TOP 10 to be aware of the weaknesses that the application may present, as well as the risks and attacks that are proper of the system and how this would affect permanently in the security of the information KEY WORDS: OWASP, Hardening, SharePoint, VB.NET, Web,
Application, Implement. Joza Calderón Danny John C.E. Carvache Franco Orly Daniel, Msc. I.D.:0925777617 Director of Work
PRÓLOGO
El actual trabajo de tesis tiene como título Aseguramiento y
Endurecimiento (Hardening) de la infraestructura del sitio web de la
Corporación Registro Civil de Guayaquil cuya finalidad es determinar los
riesgos y amenazas que se muestran presentemente en el sitio web
mediante el uso de herramientas y análisis de riesgos de OWASP.
El proyecto busca implementar el aseguramiento y Hardening en el
sitio web de la Corporación Registro Civil de Guayaquil, reduciendo de
manera significativa la manifestación de información confidencial y huecos
de seguridad existentes en el sistema.
El proyecto se encuentra distribuido en tres capítulos descritos a
continuación:
Capítulo 1: Encontramos toda la parte conceptual de diversos
autores e hipótesis enlazadas a la problemática del estudio llevado a
cabo, se detallan los temas que incluye el proyecto.
Capítulo 2: Se explicarán los métodos manejados en la
investigación, para adoptar la medida más factible, también se lograrán
evaluar los riesgos y amenazas que presenta el sitio web de la
Corporación de Guayaquil mediante el uso de OWASP.
Capítulo 3: Se especificará la propuesta del estudio las
conclusiones y recomendaciones que ofrece el autor.
INTRODUCCIÓN
Tema
“Aseguramiento y Endurecimiento (Hardening) de la Infraestructura
del Sitio Web de la Corporación Registro Civil de Guayaquil.”
Introducción
La Corporación Registro Civil de Guayaquil está ubicada en Av.
Juan Tanca Marengo km 2 y entrada de la Martha de Roldos, brinda
atención al público con servicios de Cedulación, inscripción y certificados
de: nacimiento, difusión y matrimonios, servicios que realiza de manera
responsable y eficiente, garantizando la identidad como derecho
fundamental, esta institución es pionera en la modernización de tales
servicios. La Corporación Registro Civil de Guayaquil es una empresa
encargada de la cedulación de los ciudadanos de Guayaquil por lo que
contiene información de suma importancia y debe tener los niveles de
seguridades correctamente implementando ya que es de suma
importancia para asegurar la disponibilidad e integridad de la información.
Entre los servicios que presta la Corporación, está el sitio web
www.corporacionregistrocivil.gob.ec en el cual pueden acceder los
usuarios a consultar y verificar información de una manera ágil y rápida,
pero debido a los avances tecnológicos de malware, virus y ciberataque
se necesita tener endurecida toda infraestructura web que esta
presentada hacia el internet.
El endurecimiento o aseguramiento (Hardening) es una acción
compuesta por un conjunto de actividades que son llevadas a cabo por
Introducción 3
una persona encargada del área de sistemas para reforzar al máximo
posible la seguridad de sus equipos y evitar que en el caso que existiera
un ataque éste no se concrete en su totalidad.
Alcance
Una de las primeras cosas que hay que dejar en claro del
Hardening de sistemas, es que no necesariamente logrará forjar equipos
invulnerables. La implementación del aseguramiento y endurecimiento del
Sitio web tiene como alcance controlar, minimizar y evitar las
consecuencias de un inminente incidente de seguridad que provoque
incongruencia y fuga de información. Este proyecto está dirigido a toda la
infraestructura que comprende el sitio web desde la publicación en el
internet hasta los servidores donde están alojado las aplicaciones.
Objeto de investigación
El objeto de investigación es el aseguramiento y endurecimiento
(Hardening) de la infraestructura del sitio web de la Empresa Corporación
Registro Civil de Guayaquil es la disminución de las vulnerabilidades al
que está expuesto dicho sitio web. Para la Corporación Registro Civil de
Guayaquil es importante mantener la infraestructura tecnológica con la
debidas seguridades implementadas debido a los servicios q ofrece a los
ciudadanos de la ciudad. Mientras que las configuraciones de seguridad
predeterminadas para muchos productos han mejorado mucho a lo largo
de los años, algunas de las opciones y configuraciones favorecer el uso
pero dejan al descubierto vulnerabilidades que pueden ser utilizadas para
comprometer un sistema (usabilidad vs seguridad).
La seguridad de la red comprende tanto la protección física de los
dispositivos como también la integridad, confidencialidad y autenticidad de
las transmisiones de datos que circulen por ésta.
Introducción 4
El aseguramiento y endurecimiento de las seguridades del Sitio
web tiene el propósito, entorpecer la labor del atacante y ganar tiempo
para poder minimizar las consecuencias de un inminente incidente de
seguridad e incluso, en algunos casos, evitar que éste se concrete en su
totalidad.
Justificación de la investigación
Realizar el estudio del endurecimiento de las seguridades de la
infraestructura del sitio web de la empresa nos ayudara descubrir y a la
vez mitigar posibles ataques sin dejar de lado la funcionalidad del sitio
web hacia los usuarios.
El fortalecimiento se realiza utilizando principalmente herramientas
nativas de Windows y Microsoft, respetando el principio fundamental de
mínimo privilegio para reducir al mínimo la superficie de ataque y eliminar
servicios innecesarios. También, se analiza la forma de aplicar varias
capas de seguridad para detener diversas formas de ataque buscando
proteger los archivos personales.
Una infraestructura tecnológica debe estar diseñada para que sus
configuraciones minimicen los riesgos de ataques a la seguridad de la
información y asegurar que todas las capacidades del entorno tecnológico
de la organización sean explotadas al máximo para que apoyen a las
operaciones del negocio.
En pocas palabras, a medida que se busca una seguridad mayor
en los sistemas, la versatilidad y facilidad de uso del mismo se ven
limitados, puesto que la cantidad de decisiones que puede tomar el
usuario se reduce y la cantidad de posibilidades ajenas al propósito inicial
del sistema en sí disminuye drásticamente.
Introducción 5
Objetivos de la Investigación
Objetivo general
Realizar el aseguramiento y el endurecimiento de las seguridades
de los servicios web e infraestructura del sitio web de la Corporación
Registro Civil de Guayaquil.
Objetivo Específicos
Determinar áreas de vulnerabilidad de la infraestructura de sitio web
con sus respectivas acciones y afectaciones.
Formalizar procedimientos y monitoreo de las vulnerabilidades más
comunes en la web.
Realizar pruebas sobre los sistemas operativos del hardware para
determinar sus vulnerabilidades, mediante herramientas de testeo
(Software).
Mantener los servicios del sitio web actualizados para mitigar futuros
ataques de intrusos.
CAPÍTULO I
MARCO TEÓRICO
El actual apartado evidenciara los datos requeridos para contar con
un resguardo hipotético de este trabajo, a su vez identificar las diversas
concepciones de autores con temas enlazados al estudio, el marco
teórico es la base fundamental para un correcto procesamiento de la
información y obtener un sustento alto del mismo.
Toda entidad conoce la importancia de la información y que debe
ser resguardada de forma segura para que no existan amenazas con
datos confidenciales, daños al sistema o equipos. Por lo cual se deben
definir las herramientas necesarias que se emplearan en el presente
proyecto con el objetivo de endurecer el sitio web de la Corporación de
Guayaquil.
1.1 OWASP
OWASP es una organización internacional. OWASP es una
comunidad que se basa en el código abierto enfocada en mejorar las
seguridades de las aplicaciones y por ende de las redes.
La página oficial (OWASP, OWASP, 2017) indica lo siguiente:
OWASP está en una posición única para proporcionar
información imparcial y práctica sobre AppSec a
individuos, corporaciones, universidades, agencias
gubernamentales y otras organizaciones en todo el
mundo. Operando como una comunidad de profesionales
con ideas afines, OWASP emite
Marco Teórico 7
herramientas de software y documentación basada en el
conocimiento sobre la seguridad de las aplicaciones.
1.2 Riesgos
El apartado de (OWASP-CISO, 2015) plasmó lo siguiente:
“Los intrusos siempre utilizan diferentes aplicaciones
para hacer daño a su negocio u organización. Cada
intento representa un riesgo que puede o no ser lo
suficiente critico como para justificar la atención y tomar
las correcciones del caso” (pág. 39)
DIAGRAMA Nº 1
CAMINOS PARA ATACAR UNA APLICACIÓN
Fuente: https://www.owasp.org/images/1/19/Owasp-ciso-guide_es.pdf - (OWASP-CISO, 2015, pág. 39) Elaborado por: Joza Calderón Danny John
1.3 Los Diez Factores de Riesgo
La tabla siguiente presenta un resumen de los Principales Riesgos
de Seguridad de Aplicación 2017 y los factores de riesgo que hemos
asignado a cada riesgo. Estos factores se determinaron en base a las
estadísticas disponibles ya la experiencia del equipo Top 10 de OWASP.
Marco Teórico 8
Para comprender estos riesgos para una aplicación u organización
en particular, debe considerar sus propios agentes de amenaza
específicos y los impactos de la empresa.
Incluso las debilidades de software notables pueden no presentar
un riesgo serio si no hay agentes de la amenaza en una posición para
realizar el ataque necesario o el impacto del negocio es insignificante para
los activos implicados.
CUADRO Nº 1
FACTORES DE RIESGO
Fuente: https://www.owasp.org/index.php/Top_10_2017-Top_10 Elaborado por: Joza Calderón Danny John
1.3.1 A1-Injection
Las fallas de inyección, como la inyección de SQL, OS, XXE y
LDAP se producen cuando se envían datos que no han sido validados
antes de ser procesados como parte de un comando en un lenguaje
determinado.
“Los datos hostiles del atacante pueden engañar al
intérprete para que ejecute comandos no deseados o
acceda a los datos sin autorización adecuada.” (OWASP
F. , 2017)
Marco Teórico 9
1.3.2 A2-Authentication
Las funciones de aplicación relacionadas con la
autenticación y la gestión de sesiones se implementan de
forma incorrecta, permitiendo a los atacantes
comprometer contraseñas, claves o tokens de sesión, o
explotar otras fallas de implementación para asumir las
identidades de otros usuarios (temporalmente o
permanentemente). (OWASP F. , 2017)
1.3.3 A3-Cross-Site Scripting (XSS)
Las vulnerabilidad XSS o Cross-Site scripting resultan cuando una
aplicación contienen datos no validados en una nueva página web sin
validación o escape apropiados, o actualiza una página existente con
datos proporcionados por el usuario usando una API de navegador que
puede crear JavaScript.
XSS permite a los atacantes ejecutar scripts en el navegador de la
víctima, que pueden secuestrar las sesiones de usuarios, deshacerse de
los sitios web o redirigir al usuario a sitios maliciosos.
1.3.4 A4-Broken Access Control
Las restricciones sobre lo que se permite a los usuarios
autenticados no se aplican correctamente. Los atacantes
pueden aprovechar estas fallas para acceder a
funcionalidades y / o datos no autorizados, como acceder
a cuentas de otros usuarios, ver archivos sensibles,
modificar los datos de otros usuarios, cambiar los
derechos de acceso, etc. (OWASP F. , 2017)
Marco Teórico 10
1.3.5 A5-Security Misconfiguration
Una buena seguridad requiere tener una configuración
segura definida y desplegada para la aplicación, marcos,
servidor de aplicaciones, servidor web, servidor de bases
de datos, plataforma, etc. Las configuraciones seguras
deben definirse, implementarse y mantenerse, ya que los
valores por defecto son a menudo inseguros. Además, el
software debe mantenerse actualizado. (OWASP F. , 2017)
1.3.6 A6-Sensitive Data Exposure
Muchas aplicaciones web y API no protegen
adecuadamente los datos confidenciales, como
financieros, de atención médica y PII. Los atacantes
pueden robar o modificar tales datos débilmente
protegidos para realizar fraudes con tarjetas de crédito,
robo de identidad u otros delitos. Los datos sensibles
merecen una protección adicional, como cifrado en
reposo o en tránsito, así como precauciones especiales
cuando se intercambian con el navegador. (OWASP F. ,
2017)
1.3.7 A7-Insufficient Attack Protection
La mayoría de las aplicaciones y API carecen de la
capacidad básica para detectar, prevenir y responder a
los ataques manuales y automatizados. La protección
contra ataques va mucho más allá de la validación de
entrada básica e implica la detección automática, registro,
respuesta e incluso bloqueo de intentos de explotación.
Los propietarios de aplicaciones también deben ser
Marco Teórico 11
capaces de implementar parches rápidamente para
protegerse contra los ataques. (OWASP F. , 2017)
1.3.8 A8-Cross-Site Request Forgery (CSRF)
El ataque CSRF forza al navegador de una víctima a enviar una
solicitud HTTP falsificada. Este tipo de ataques explotan la confianza que
hace el sitio web a sus usuarios, comúnmente debido que los
navegadores de ahora proactivamente guardan información de inicio de
sesión la cual es tomada por el exploit para poder realizar los ataques.
1.3.9 A9-Using Components with Known Vulnerabilities
Los componentes, como bibliotecas, marcos y otros
módulos de software, se ejecutan con los mismos
privilegios que la aplicación. Si un componente
vulnerable es explotado, un ataque de este tipo puede
facilitar la pérdida de datos graves o la toma de control
del servidor. Las aplicaciones y las API que utilizan
componentes con vulnerabilidades conocidas pueden
socavar las defensas de las aplicaciones y permitir varios
ataques e impactos. (OWASP F. , 2017)
1.3.10 A10-Underprotected APIs
Las aplicaciones modernas a menudo implican
aplicaciones ricas de cliente y API, como JavaScript en el
navegador y aplicaciones móviles, que se conectan a una
API de algún tipo (SOAP / XML, REST / JSON, RPC, GWT,
etc.). Estas API a menudo no están protegidas y
contienen numerosas vulnerabilidades. (OWASP F. , 2017)
Marco Teórico 12
1.4 Hardening
Se puede definir como el proceso de asegurar un sistema mediante
la reducción de vulnerabilidades por lo que se evalúa servicios, software
y accesos innecesarios de la red o pc según sea el caso. Todas las
empresas tienen equipos o servicios críticos los cuales deben estar
debidamente protegido y asegurado usando técnicas, normas y la
documentación necesaria basada en seguridades de la información.
(Jara & Pacheco, 2012) Manifestaron lo siguiente:
Este proceso consiste en utilizar las propias
características de dispositivos, plataformas y
aplicaciones para aumentar sus niveles de seguridad.
Cerrar puertos que no son imprescindibles, deshabilitar
protocolos y funciones que no se utilicen, cambiar
parámetros por defecto y eliminar usuarios que no sean
necesarios son solo algunos ejemplos sencillos de un
proceso de Hardening. (Pág. 9)
1.5 Ciberataque
Un ciberataque se puede definir como un acto malicioso dirigida a
todo equipo o software informático comúnmente son originados por
usuarios anónimos con el fin de alterar robar o destruir el objetivo que
esta vulnerable.
El ciberataque radica en aprovechar cualquier vulnerabilidad o falla
en los programa, en el hardware, también en las personas que forman
parte de un ambiente tecnológico; para obtener un beneficio causando
daños en la seguridad del objetivo atacado, que luego pasa directamente
en los activos de la organización.
(CASAS, 2017) Explica lo siguiente:
Marco Teórico 13
Un ciberataque debe poder asimilarse a una acción
armada y, por tanto, tener el objetivo de matar, herir o
destruir físicamente propiedades. Por tanto, una
denegación de servicio que no funciones una página web
durante un tiempo, por ejemplo, algo al alcance de
cualquier grupito de chavales con conocimientos de
informática o el robo de datos como planes de defensa o
el nombre de agentes secretos no se pueden considerar
de esta categoría. (pág. 334)
1.6 SharePoint
SharePoint 2013 es un entorno de colaboración que
pueden usar organizaciones de todos los tamaños para
incrementar la eficacia de los procesos empresariales.
Los sitios de SharePoint 2013 proporcionan entornos
seguros que los administradores pueden configurar para
proporcionar un acceso personalizado a los documentos
y a otra información. Las funciones de búsqueda ayudan
a los usuarios a encontrar con eficacia contenido
independientemente de la ubicación física de los datos.
(TechNet, 2017)
1.7 Sitio web
Según el apartado de (Luján, 2002) indica que un sitio web:
Es un lugar virtual en la red que almacena información
para que las personas tengan acceso a él, así de simple.
Se conforma por varios documentos que están de manera
organizada para que sea atractivo visualmente, estos se
llaman páginas web. Por lo tanto, un sitio web es la
Marco Teórico 14
compilación organizada y ordenada de un determinado
número de páginas web. En el Internet encontramos una
gran variedad de tipos de sitios web que se diferencian
fundamentalmente por la clase y el servicio como son los
sitios estáticos y dinámicos. Sitio Web es un conjunto de
página web relacionadas entre sí. Se entiende por página
web tanto el fichero que contiene el código HTML como
todos los recursos que se emplean en la página
(imágenes, sonidos, código JavaScript, etc.).(pág. 62)
1.8 Sistema de Base de Datos
El estudio de (J. & Date, 2001) manifestó lo siguiente:
Un sistema de base de datos es básicamente un sistema
computarizado para guardar registros; es decir, es un
sistema computarizado cuya finalidad general es
almacenar información y permitir a los usuarios recuperar
y actualizar esa información con base en peticiones.
La información en cuestión puede ser cualquier cosa que
sea de importancia para el individuo u organización; en
otras palabras, todo lo que sea necesario para auxiliarle
en el proceso general de su administración. (pág. 80)
1.9 SQL Server
Es un sistema de manejo de bases de datos de tipo modelo
relacional, desarrollado por la empresa Microsoft. Se puede utilizar en
línea de comandos o mediante la interfaz gráfica de Management Studio
con lo que es Transact-SQL (TSQL), una implementación del estándar
lenguaje SQL, que sirve para manipular y recuperar datos, crear tablas y
definir relaciones entre ellas.” (Microsoft, 2017)
Marco Teórico 15
1.10 Windows Server 2012
En autor (Bonnet, 2013) índico que Windows Server 2012:
Provee a un administrador una plataforma completa, a
nivel de administración de dominio AD, virtualización o
implantación de un sistema de cloud computing. El
sistema operativo nos ofrece una plataforma de
virtualización que permite la creación de un entorno
totalmente aislado. La mejora de Power Shell, ahora en
versión 3, aporta nuevos comandos a los administradores
de servidores. La automatización de tareas es, ahora,
posible utilizando scripts Power Shell. Se presenta una
nueva interfaz, la interfaz de Windows. El botón inicio
está, ahora, ausente y la nueva interfaz la compone, en lo
sucesivo, por "tiles" o "azulejos" (Pág. 78)
1.11 Hacking Ético
Los autores (RAULT, y otros, 2015) Manifestaron lo siguiente:
El hacking ético describe el arte de pentester. El objetivo
es medir el nivel de seguridad del sistema de Información
de una empresa. De este modo, hay empresas de
seguridad que realizan ataques (también llamados
"pruebas o test de penetración") para revelar y corregir
fallos de seguridad en un determinado sistema. (Pág. 54)
1.12 Vulnerabilidad
Una vulnerabilidad es un agujero o una debilidad en la aplicación,
que puede ser una falla de diseño o un error de implementación, que
Marco Teórico 16
permite a un atacante causar daño a las partes interesadas de una
aplicación. Las partes interesadas incluyen el propietario de la aplicación,
los usuarios de la aplicación y otras entidades que dependen de la
aplicación. El término "vulnerabilidad" se utiliza con mucha frecuencia. Sin
embargo, aquí necesitamos distinguir amenazas, ataques y
contramedidas. (OWASP, 2016)
1.13 Firewall
Un firewall o cortafuegos es un dispositivo que puede ser hardware
o software de seguridad en la red, que monitorea el tráfico entrante y
saliente y decide si permite o bloquea tráfico específico, definido en un
conjunto de reglas. Básicamente la función de un firewall es resguardar
los dispositivos individuales, servidores o equipos conectados en red
contra intrusos que nos pueden robar datos privados.
Existen 2 tipos de firewall los de hardware y software, cada uno es
utilizado según la necesidad y presupuesto del administrador de red para
asegurar su infraestructura de las amenazas.
1.14 IPS
El autor (Tejada, 2015) indico que:
Los sistemas de prevención de intrusiones o IPS se
desarrollaron en 1990 con la finalidad de monitorizar el
tráfico de una red en tiempo real y conseguir prevenir las
intrusiones al sistema. Se consideran una evolución de
los sistemas de detección de intrusiones (IDS).
Los IPS tratan de prevenir que se filtre cualquier
intrusión: en cuanto se produce la caída de algún paquete
o se detecta que está dañado o incompleto, la red
Marco Teórico 17
bloquea la transmisión de este paquete con el fin de
prevenir un posible ataque. (Pág. 26)
1.15 IDS
(Tejada, 2015) Manifestó lo siguiente:
La herramienta que es capaz de monitorizar el tráfico de
la red a tiempo real es el sistema de prevención de
intrusos. Mientras que los IDS o sistemas de detección de
intrusos se limitan a la simple detección de ataques
(exitosos y no exitosos, según el tipo de IDS implantado),
los IPS o sistemas de prevención de intrusos pueden
aplicar medidas preventivas que eviten la entrada de
ataques a tiempo real gracias a la monitorización de la
red.(pág. 58)
1.16 Dirección IP
Es el acrónimo de Internet Protocol, la dirección IP es un
identificador único que puede ser privado o público, usado para comunicar
los dispositivos ya sea equipo de red, computadoras o servidores en una
infraestructura. El direccionamiento se compone de 32 bits, que se
conforma por la porción de la red y de la máscara de subred.
1.17 Proxy Server
Actúa como un gateway o pasarela segura para conectar su red
local LAN a Internet. Gateway se refiere a un software u ordenador que
permite la comunicación entre dos redes. Usando un gateway Proxy
Server, usted será capaz de proteger su red contra intrusos. El Gateway
actúa como una barrera que le permitirá hacer peticiones a Internet y
Marco Teórico 18
recibir información, pero no permitirá el acceso a su red de usuarios no
autorizados.
Usted puede configurar Proxy Server para permitir la
comunicación de sus estaciones de trabajo con servicios
remotos en Internet. Cuando seleccione el hardware
apropiado para un ordenador ejerciendo funciones de
Gateway o pasarela, asegúrese de que tiene el adecuado
ancho de banda para la conexión a Internet y planifique
con cuidado la seguridad para proteger su LAN.
(MICROSOFT, 2017)
1.18 Protocolos de red
El apartado de (García, 2015) definió lo siguiente:
Protocolo Conjunto de normas y procedimientos útiles
para la transmisión de datos conocido por el emisor y el
receptor.
Para clasificar los protocolos en función de las diferentes
funcionalidades que realizan se usan unas estructuras
llamadas capas de comunicación. En cada capa actúa un
protocolo encargado de la labor de dicha capa. Por eso
en ocasiones se habla de "pila" de protocolos.
Dentro de cada capa se podrán utilizar diferentes
protocolos en función del objetivo final (no es 10 mismo
enviar un correo electrónico que hacer una consulta a
una página web, por ejemplo). (Pág. 78)
1.19 DMZ
El autor (Albacete, 2015) indico que:
Marco Teórico 19
Las zonas DMZ añaden seguridad, porque aumentan la
separación entre redes. Por ejemplo, el rango de
direcciones IP, empleado en la zona DMZ será diferente al
rango de direcciones de la red privada, 10 que aumenta la
dificultad para acceder a la red privada. Habitualmente, se
pueden obtener más beneficios de las zonas DMZ,
empleándolas para diferentes servicios. (pág. 30)
1.20 NAT
(Quintero, 2015) Manifestó lo siguiente:
El protocolo de traducci6n de direcciones de red (NAT) es
el proceso que convierte direcciones IP privadas en
direcciones enrutables para Internet, es decir, en
direcciones IP públicas.
A través de NAT se consigue comunicar los hosts de una
red interna con Internet. Los routers además de
proporcionar una dirección privada a cada cliente de la
red local, reciben a su vez una dirección pública del ISP
que les permite enviar y recibir datos en Internet. Dado
que las direcciones privadas no se permiten en Internet,
es necesario el estándar NAT. (Pág. 94)
1.21 Auditoria de infraestructura de tecnología de información
basado en estándares y buenas prácticas
El autor (Rodríguez, 2016) expone un conjunto de conceptos para
efectuar una auditoria de IT fundamentado en estándares y buenas
practicas. Las mismas se describen a continuación:
Al realizar una auditoría en un departamento de
Sistemas debemos considerar los siguientes tópicos:
Marco Teórico 20
Auditoría a Base de Datos.
Auditoría a los sistemas que son Desarrollo interno/externo.
Auditorías de Sistemas de Gestión de Seguridad SGSI.
Auditorías de Equipos de Red (Switch, routers) y Seguridad (IPS,
IDS).
Auditorías a Gestión de Servicios de IT (Mesa de Ayuda y software
de soporte).
Hay que tener presente que existen normas y estándares
Internacionales que son de mucha ayuda en lo que respecta a
Hardening. Debemos tener presente el objetivo o principios del
Departamento de IT para saber que aporte y cuál es el alcance del
Departamento como tal, en este caso nos podemos ayudar con la
siguiente imagen:
DIAGRAMA Nº 2
PRINCIPIOS DE COBIT 5
Fuente:https://backtrackacademy.com/articulo/auditoria-de-infraestructura-de-tecnologia-de-informacion-basado-en-estandares-buenas-practicas (Rodríguez, 2016) Elaborado por: Joza Calderón Danny John
Marco Teórico 21
Es importante validar que la infraestructura donde nuestros
servicios se alojan y transportan, se encuentren en óptimas condiciones
o por lo menos las adecuadas a nuestras necesidades.
Enumeraremos los puntos por donde podremos empezar a
evaluar una infraestructura tecnológica:
Diagrama de Red en la cual interviene:
Equipos de Red.
Segmentación de Red.
Utilización de Puertos.
Monitoreo de Performance.
Cableado Estructurado.
En la Infraestructura interviene los equipos como son Desktop,
Server. En los cuales se valida registros de Instalaciones y
actualizaciones de Equipos.
Todo este conjunto de actividades se denominan Hardening
también conocido como endurecimiento de la infraestructura tecnológica
del departamento de sistemas.
Este procedimiento logra disminuir las vulnerabilidades y hacer
más complicado el ingreso de intrusos o usuarios no autorizados.
1.22 Hardening
El siguiente estudio efectuado por (Sanchéz, 2013) plasma teorías
e importancia en implementar Hardening en las organizaciones. Las
mismas se detallan a continuación:
Marco Teórico 22
DIAGRAMA Nº 3
PROCESO DE HARDENING
Fuente: http://www.magazcitum.com.mx/?p=2109#.WaBqTT6GPIV (Sanchéz, 2013) Elaborado por: Joza Calderón Danny John
Todas las empresas que tienen un departamento de sistemas
deben considerar una línea base de seguridad para sus equipos de
cómputo, la cual lleva a tener un nivel de seguridad satisfactorio. Hay
que recordar que cada vez que sale a producción algún servicio,
hardware o software este debe pasar por el proceso de Hardening y no
olvidar que periódicamente se deben hacer procesos de Hardening con
el fin de estar aplicando mejores prácticas de seguridades.
DIAGRAMA Nº 4
ANÁLISIS VULNERABILIDADES
Fuente: http://www.magazcitum.com.mx/?p=2109#.WaBqTT6GPIV (Sanchéz, 2013) Elaborado por: Joza Calderón Danny John
Hay un error común en los Administradores de Infraestructuras que
con aplicar actualizaciones al producto creen que es suficiente como
mejores prácticas de hardening en su defecto remediaciones de huecos
de seguridad.
Marco Teórico 23
DIAGRAMA Nº 5
REMEDIACIONES DEL SISTEMA
Fuente: http://www.magazcitum.com.mx/?p=2109#.WaBqTT6GPIV (Sanchéz, 2013) Elaborado por: Joza Calderón Danny John
También se debe tener en consideración los niveles o capas para
realizar hardening los cuales son detallados en la parte de abajo:
DIAGRAMA Nº 6
NIVELES DE PROFUNDIDAD
Fuente: http://www.magazcitum.com.mx/?p=2109#.WaBqTT6GPIV (Sanchéz, 2013) Elaborado por: Joza Calderón Danny John
Marco Teórico 24
El aseguramiento a nivel de Perímetro se refiere a la
implementación de IPS IDS los cuales en el mercado varían por marca
precio y funcionalidades.
Se entiende a nivel de servicios de red son los aplicativos y
accesos necesarios a los usuarios para consumir los servicios ya sean
interno o externo por parte de la empresa que estén publicados.
Las pc’s de los usuarios son un punto determinante en el
aseguramiento, la mayoría de los administradores se enfocan en instalar
un antivirus, pero no solamente eso comprende también se debe
considerar aplicativos instalados, actualizaciones que se aplican y alcance
de permisos sobre la red a otra computadoras o servidores.
1.23 Nmap
Nmap es una herramienta de código abierto que sirve para
explorar una red la cual comprende protocolos y servicios que están
corriendo en el momento de la ejecución de la misma. Tiene versiones
tanto para Windows como para Linux lo cual hace versátil dicho
producto.
Generalmente se utiliza Nmap en auditorías de seguridad
informáticas, muchos administradores de sistemas lo usan para realizar
tareas rutinarias, como puede ser el inventariado de la red, y
seguimiento a eventos u ocurrencias dentro de la infraestructura de la
organización.
La salida de Nmap es un registro de objetivos estudiados, con
información agregada para cada adjunto de las opciones manipuladas. La
información principal es la lista de puertos analizados. Esta lista presenta
el número de puertos con su respectiva etiqueta el alias más frecuente del
Marco Teórico 25
servicio y el estado que suele ser abierto, depurado, cerrado, o no
depurado. Adicionalmente de la lista de puertos analizados, Nmap provee
información agregada sobre los objetivos, envolviendo el alias de DNS en
cuanto al valor contrapuesto de la IP, un registro de sistemas operativos
potenciales , y los tipos de terminales y direcciones MAC.
2.23.1 Modelo característico de análisis con Nmap
Esta herramienta muestra el escaneo de los puertos tanto tcp como
udp según los parámetros que se necesiten usar, en la imagen podemos
apreciar cómo se registra la url de la página web, luego de esto comienza
a mostrar todos los protocolos que se encuentran abiertos y por ende se
pude hacer un estudio de ataque de vulnerabilidades.
IMAGEN Nº 1
ANÁLISIS CON NMAP I
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Una vez terminado el análisis del scanner muestra los puertos
abiertos los cuales muchas veces son los que necesitas las aplicaciones
web para poder funcionar como son http, https, etc.
IMAGEN Nº 2
ANÁLISIS CON NMAP II
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Marco Teórico 26
1.24 OWASP Zed Attack proxy (ZAP)
Según la página oficial de OWASP definió OWASP Zed Attack
proxy (ZAP) de la siguiente manera:
El OWASP Zed Attack Proxy (ZAP) es una de las
herramientas de seguridad gratuitas más populares del
mundo y es mantenido activamente por cientos de
voluntarios internacionales * . Puede ayudarle a encontrar
automáticamente vulnerabilidades de seguridad en sus
aplicaciones web mientras desarrolla y prueba sus
aplicaciones. También es una gran herramienta para
testers experimentados para usar para pruebas de
seguridad manuales. (Proxy, 2017)
Está delineado para ser manejado por individuos con una extensa
gama de experiencia en seguridad por ende es idóneo para los
desarrolladores y tester que recién se sumergen en el mundo de las
pruebas funcionales. ZAP suministra escáneres mecanizados, así como
un grupo de instrumentos que ayudan a encontrar debilidades de
seguridad manualmente.
Algunas de estas particularidades de ZAP se detallan a
continuación:
Escáner computarizado
Escáner pasivo
Escáner de fuerza brusca
Fuzzer
Escáner de puertos
Certificados SSL dinámicos
Proxy de apropiación
Marco Teórico 27
Fácil de instalar (sólo requiere java 1.6)
Habilidad de uso una prioridad
Páginas de ayuda completas
Completamente internacionalizado
Bajo perfeccionamiento activo
Fuente abierta
Open Source
Plataforma cruzada (Proxy, 2017)
1.25 KALI LINUX
La investigación realizada por el autor (Benito, 2014) define lo
siguiente:
Kali es una distribución Linux diseñada para la seguridad
informática. Como la mayoría de distribuciones Linux es
de código abierto y gratuito así como la mayoría de sus
herramientas. Este sistema operativo contiene una gran
colección de herramientas dedicadas a la auditoría
informática entre las que se encuentran las populares
Nmap, metasploit, w3af o John the ripper. Las
aplicaciones se encuentran divididas por secciones,
dependiendo de que ramo de seguridad abarquen. (Pág.
4)
El sistema Kali Linux conserva las siguientes particularidades:
Robusto: Conserva varias herramientas para pentesting, las cuales
fueron optimizadas.
Gratuito: Los autores aseguran que esto es un ensayo no alterable en
el tiempo, asimismo posee instrumentos de código abierto y con
intercesoras que a pesar de no ser open source por medio de
Marco Teórico 28
determinadas autorizaciones y en acuerdo con sus proveedores
consiguen acaparar su comercialización.
Open Source: Conserva un repositorio en donde hallamos todo el
código fuente Kali disponible para efectuar mejoras o reconstrucción.
FHS: Permite la distribución de los registros de creación e implantación
de los mismos.
Soporta un amplio conjunto de dispositivos inalámbricos y consiente
circular apropiadamente sobre una gran variedad de hardware; tolera la
concurrencia con terminales USB y dispositivos portátiles.
Instaurado bajo un ambiente seguro: La composición con las
plataformas para el desarrollo de cambios en los paquetes lo efectúan
el conjunto de Kali Linux ejecutando diversas normas de seguridad.
Soporta múltiples idiomas, a pesar que la mayoría de sus elementos
fueron encriptadas en inglés.
Personalizable: Es factible descargar una adaptación completamente
caracterizada de Kali en que solo abarque envíos de servicio al
usuario.
Kali Linux es una nueva reestructuración de backTrack,
basándose en Debían, ordenando las herramientas principales,
aumentando su calidad y eficiencia usando estándares de desarrollo
seguro. Kali Linux es una herramienta muy utilizada por hackers, que
buscan los límites y vulnerabilidades en la seguridad de las redes y
sistemas pero no necesariamente está orientado para realizar actos
delictivos.
A diferencia de Metasploit que es pagado, Kali es una suite que
permite ser ejecutada de forma live y bootebale desde un USB con fines
educativo.
Esta Suite contiene diversas herramientas por la cual son de uso
libre sin costo alguno, estas fueron las razones de peso por la cual se la
eligió, para realizar el procedimiento de aseguramiento.
CAPÌTULO II
METODOLOGÍA
2 Modalidad de la Investigación
En el proyecto del aseguramiento y hardening de la infraestructura
del sitio web, la modalidad de la investigación, es la investigación
aplicada, que se la puede conocer como práctica o experimental, este tipo
de investigación busca el uso de los conocimientos obtenidos a través de
prácticas anteriores o tomando informes de líneas bases de los
proveedores de los productos de seguridad.
Por lo antes indicado a la investigación aplicada le afecta que los
resultados adquiridos posean utilidad práctica contigua sobre la sociedad.
Este es el caso, por ejemplo, de investigaciones de necesidades de
información o comportamiento de usuarios de una institución particular,
cuyo argumento es implementar las representaciones nacidas de la
investigación; es decir, investigación tiene una intención muy inteligente
busca conocer, manifestar, anunciar o proceder sobre un evento o
problema existente.
2.1 Tipos de investigación
En el proyecto antes mencionado, el tipo de investigación que se
utiliza es la exploratoria este tipo de investigación se efectúa cuando el
objetivo a investigar un tema poco común, o que nunca se ha tratado
antes.
Metodología 30
Según el estudio de (Cazau, 2006) manifestó lo siguiente:
Una investigación exploratoria es, como su nombre lo
indica, examinar o explorar un tema o problema de
investigación poco estudiado o que no ha sido abordado
nunca antes. Por lo tanto, sirve para familiarizarse con
fenómenos relativamente desconocidos, poco estudiados
o novedosos, permitiendo identificar conceptos o
variables promisorias, e incluso identificar relaciones
potenciales entre ellas. La investigación exploratoria,
también llamada formulativa (Selltiz), permite conocer y
ampliar el conocimiento sobre un fenómeno para precisar
mejor el problema a investigar. Puede o no partir de
hipótesis previas, pero al científico aquí le exigimos
flexibilidad, es decir, no ser tendencioso en la selección
de la información. En la investigación exploratoria se
estudian qué variables o factores podrían estar
relacionados con el fenómeno en cuestión, y termina
cuando uno ya tiene una idea de las variables que juzga
relevantes, es decir, cuando ya conoce bien el tema. Por
ejemplo, cuando apareció por primera vez el Sida hubo
que hacer una investigación exploratoria, porque había
un desconocimiento de este tema. (Pág. 26)
2.2 Método de la Investigación
El método de investigación que se va a emplear en la presente
tesis, será el método deductivo que parte de lo general a lo particular
procediendo analizar las vulnerabilidades de la infraestructura del Sitio
Web y determinando específicamente las novedades encontradas para
así poder corregirlas y a su vez endurecer las seguridades de dicha
infraestructura.
Metodología 31
Según (Bisquerra.R, 1989) índico que el método deductivo:
Es parte de una premisa general para sacar conclusiones
de un caso particular. En definitiva sigue el modelo
aristotélico deductivo esquematizado en el silogismo. El
científico que utiliza este método pone el énfasis en la
teoría, en la explicación, en los modelos teóricos, en la
abstracción; no en recoger datos empíricos, o en la
observación y experimentación. Son muchos los autores
que distinguen entre método deductivo, inductivo e
hipotético-deductivo; entre otros. (Pág. 61)
2.3 Población y Muestra
2.3.1 Población
Se determina que la población corresponde a un todo de individuos
u objetos a estudiar referente a un problema específico o contexto que se
quiera dar solución, respecto al actual trabajo de tesis.
El universo determinado es el departamento Informática de la
Corporación Registro Civil de Guayaquil que consta de personal de
técnico y desarrolladores los cuales cumplen aplicando e innovando
nuevas tecnologías.
2.3.2 Muestra
La muestra es un perfil del universo seleccionado, es utilizado
cuando la población tiende a ser muy amplia, en el actual proyecto se
tomara como muestra el sitio web de la Corporación Registro Civil de
Guayaquil. En donde se procederá a entrevistar al personal de
Infraestructura y desarrolladores integrado por las siguientes personas:
Metodología 32
CUADRO Nº 2
MUESTRA DPTO. DE IT DE LA CORPORACIÓN REGISTRO CIVIL DE
GUAYAQUIL
Muestra Tamaño de la
Muestra
Coordinador de
Informática
1
Jefe de redes y
seguridades
1
Técnico operador de
computo
1
Asistente de Monitoreo 1
Desarrolladores 3
Total 7
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
2.4 Técnicas e instrumentos de Recopilación de datos
Para el actual proyecto se procedió a utilizar los siguientes
instrumentos:
Cuestionarios
Provisiones de oficina
Bitácoras
2.4.1 Técnica de investigación
Según (Morone, 2012) defino a la técnica como:
Procedimientos e instrumentos que utilizamos para
acceder al conocimiento. Encuestas, entrevistas,
observaciones y todo lo que se deriva de ellas. Las
técnicas de investigación se demuestran por su beneficio,
Metodología 33
que se transcribe en la optimización de los esfuerzos, la
sobresaliente dirección de los recursos y la difusión de
las deducciones. (pág. 2)
La técnica a implementar en el presente trabajo de tesis es la de
campo, debido a que por medio de las encuestas podremos obtener
información de suma importancia del personal de infraestructura
perteneciente a la Corporación de Guayaquil.
Para obtener la recolección de información e investigación de la
misma, se procederá el uso de las siguientes técnicas:
2.4.2 Observación Directa
Es una herramienta de suma relevancia, ya que el investigador
determina los puntos más importantes del tema de estudio. A sí mismo,
cumple los objetivos preliminarmente definidos en la investigación a
realizarse.
2.4.3 Entrevista
Calificada como una técnica fundamentada en cuestiones y
respuestas Entre el entrevistador y los entrevistados. La misma es la que
se empleara en el actual trabajo de investigación.
2.4.3.1 Ejecución de la entrevista
Referente a la entrevista se empleara un estudio de preguntas y
respuestas con el fin de detectar los huecos de seguridad del sitio web de
la Empresa Corporación Registro Civil de Guayaquil. La ejecución de
dicha entrevista está destinada al personal de infraestructura compuesta
por el jefe de área y técnicos.
Metodología 34
2.4.3.2 Entrevistas al Jefe de Redes y Seguridades de la
Corporación Registro Civil de Guayaquil
La entrevista estuvo dirigida al jefe de redes y seguridades de la
Corporación Registro Civil de Guayaquil, en donde su objetivo es detectar
los huecos de seguridad del sitio web de la entidad.
CUADRO Nº 3
ENTREVISTAS AL JEFE DE REDES Y SEGURIDADES DE LA
CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE INGENIERÍA INDUSTRIAL
Formato de entrevista
Empresa: Corporación Registro Civil de Guayaquil
Nombre: Ing. Kleber Falconi
Cargo profesional en la empresa: Jefe de Redes y Seguridades
Fecha: 22/08/2017
Preguntas: 1) ¿Cuenta la entidad con servicios que manejen los usuarios en el
propio segmento de red? Respuesta: Actualmente la entidad no cuenta con dicho servicios 2) ¿Los usuarios externos pueden conectarse directamente a las
aplicaciones internas de la página web con el fin de acceder a información, reestablecer registros o manipular otra información? Respuesta: los usuarios cuentan con permisos para manejar información.
3) ¿Se manipulan equivalentes elementos de IT de aplicación, como motores de bases de datos en soporte a terceras aplicaciones externas o nuevos servicios internos? Respuesta: No se utilizan mismos elementos IT de aplicación.
4) ¿La entidad consiente procesar datos privados o de propiedad externo de sus instalaciones?
Respuesta: No permite procesar información confidencial fuera de las instalaciones.
5) ¿Quiénes son los usuarios finales del sitio web principal de su ambiente?
Respuesta: los usuarios finales son los ciudadanos de la ciudad de Guayaquil.
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Metodología 35
2.4.3.3 Entrevistas al Técnico operador de Computó de la
Corporación Registro Civil de Guayaquil
La entrevista estuvo destinada a los operadores de cómputo de la
Corporación de Guayaquil, cuya objetivo es conocer el nivel de seguridad
que maneja la entidad.
CUADRO Nº 4
ENTREVISTAS AL TÉCNICO OPERADOR DE COMPUTÓ DE LA
CORPORACIÓN DE GUAYAQUIL
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE INGENIERÍA INDUSTRIAL
Formato de entrevista
Empresa: Corporación Registro Civil de Guayaquil
Nombre: Ing. Wilmer Sánchez
Cargo profesional en la empresa: Técnicos operador de Cómputo.
Fecha: 22/08/2017
Preguntas: 1) Asumiendo que los controles de seguridad estuvieran lentos,
¿altera de manera crítica la capacidad de respuesta de la entidad?
Respuesta: Se reduce la capacidad de respuesta de manera significativa.
2) ¿La entidad resguarda mucha información de alta relevancia? Respuesta: efectivamente se almacena mucha información confidencial.
3) ¿Se recopilan o procesan los datos del cliente en un ambiente compartido de recursos de red?
Respuesta: si se almacenan y manipulan los datos en ambientes compartidos.
4) ¿Cómo ingresan los usuarios a los aplicativos primordiales? Respuesta: ingresan mediante la página oficial de la Corporación de
Guayaquil. 5) ¿Permite la entidad que los programadores de sistemas se
conecten remotamente a desarrollos en producción? Respuesta: Los programadores pueden conectarse de forma
remota para atender desarrollos en producción. Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Metodología 36
2.4.3.4 Entrevistas a la Asistente de Monitoreo de la Corporación
Registro Civil de Guayaquil
El objetivo de entrevistar a la Asistente de Monitoreo de la
Corporación Registro Civil de Guayaquil, es determinar con que
ocurrencia se encuentran con componentes maliciosos y que eventos
pueden representar una amenaza a la seguridad de la información.
CUADRO Nº 5
ENTREVISTAS A LA ASISTENTE DE MONITOREO DE LA
CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE INGENIERÍA INDUSTRIAL
Formato de entrevista
Empresa: Corporación Registro Civil de Guayaquil
Nombre: Ing. Alexandra Durán
Cargo profesional en la empresa: Asistente de Monitoreo
Fecha: 22/08/2017
Preguntas: 1) ¿Con que continuidad al verificar un monitoreo de red se halla con amenazas externas de la red? Respuesta: continuamente se hallan amenazas externas como virus o Malware. 2) ¿Con que ocurrencia los servicios de los servidores se caen? Respuesta: la ocurrencia de este suceso es alta. 3) ¿Comparte la entidad los elementos IT y aplicaciones entre algunos usuarios? Respuesta: si se comparten elementos IT entre varios usuarios. 4) Una interrupción de luz o fallo del sistema en equipos que perturbe las aplicaciones o IT de los usuarios, ¿afectaría arduamente? Respuesta: Efectivamente un apagón o fallo de las aplicaciones puede poner en peligro la integridad de la información. 5) En el último semestre, ¿se han realizado renovaciones de algún componente importante de IT? Respuesta: En el último semestre no se ha efectuado ningún cambio de componentes
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Metodología 37
2.4.4 Encuesta
Se procederá a realizar encuestas las cuales serán efectuadas a la
muestra de estudio que en el caso actual es al personal de la Corporación
Regsitro Civil de Guayaquil, consentirán comprobar la apreciación de los
empleados hacia la implementación de Hardening en la infraestructura
del sitio web de la Corporación Registro Civil de Guayaquil.
2.4.5 Análisis y técnicas de procesamiento de Datos
Luego de efectuar las respectivas encuestas a la muestra
compendiada, se procederá a ejecutar la tabulación y análisis de los
resultados.
Pregunta # 1
¿Piensa usted que la información en el sitio web de la Corporación
Registro Civil de Guayaquil es sensible a los hackers o individuos
mal intencionados que podrían afectarlas?
CUADRO Nº 6
PREGUNTA 1: ENCUESTA AL PERSONAL DE INFRAESTRUCTURA
DE LA CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL
OPCIONES FRECUENCIA PORCENTAJE
SI 7 100%
NO 0 0%
TOTAL 7 100%
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Metodología 38
GRÁFICO Nº 1
FRAGILIDAD CON LOS HACKERS O INDIVIDUOS MAL
INTENCIONADOS
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Interpretación de los datos
Todo el personal de infraestructura del sitio web de la Corporación
Registro Civil de Guayaquil que corresponde al 100% de la muestra
considera que la información puede ser violada por cualquier hackers o
individuo mal intencionado.
Pregunta # 2
¿Considera usted que la información que se manipula dentro de la
Corporación Registro Civil de Guayaquil es segura?
CUADRO Nº 7
PREGUNTA 2: ENCUESTA AL PERSONAL DE INFRAESTRUCTURA
DE LA CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL
OPCIONES FRECUENCIA PORCENTAJE
SI 4 55%
NO 3 45%
TOTAL 7 100%
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Metodología 39
GRÁFICO Nº 2
LA INFORMACIÓN DENTRO DE LA CORPORACIÓN ES SEGURA
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Interpretación de los datos
Según los resultados presentados vemos que el 50% de la muestra
encuestada considera que la información dentro del sitio web de la
Corporación no es segura, mientras que el otro 50% restante piensa que
si lo es.
Pregunta # 3
¿Se ha presentado hurto de información en el sitio web de la
Corporación Registro Civil de Guayaquil?
CUADRO Nº 8
PREGUNTA 3: ENCUESTA AL PERSONAL DE INFRAESTRUCTURA
DE LA CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL
OPCIONES FRECUENCIA PORCENTAJE
SI 2 35%
NO 5 65%
TOTAL 4 100%
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Metodología 40
GRÁFICO Nº 3
HURTO DE LA INFORMACIÓN
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Interpretación de los datos
Los resultados indican que al menos en un 33% se ha presentado
hurto de la información dentro del sitio web de la Corporación Registro
Civil de Guayaquil, esto recalca la relevancia en el fortalecimiento del sitio
web de la entidad, ya que la misma maneja información confidencial de
los ciudadanos.
Pregunta # 4
¿Piensa usted que la implementación de Hardening en el sitio web
de la Corporación Registro Civil de Guayaquil mediante el uso de
OWASP será una solución viable para el resguardo y aseguramiento
de la información dentro de la entidad?
CUADRO Nº 9
PREGUNTA 4: ENCUESTA AL PERSONAL DE INFRAESTRUCTURA
DE LA CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL
OPCIONES FRECUENCIA PORCENTAJE
DE A CUERDO 5 73%
PARCIALMENTE DE ACUERDO 2 27%
EN DESACUERDO 0 0%
TOTAL 7 100%
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Metodología 41
GRÁFICO Nº 4
IMPLEMENTACIÓN DE HARDENING MEDIANTE OWASP
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Interpretación de los datos
Los resultados nos muestran que el 75% de la muestra encuestada
está de acuerdo con la implementación de Hardening en el sitio web de la
Corporación Registro Civil de Guayaquil haciendo uso de las
recomendaciones y herramientas de OWASP, mientras que el otro 25%
está parcialmente de acuerdo con la implementación de la misma.
Pregunta # 5
¿OWASP es una comunidad abierta dedicada a habilitar a las
organizaciones para desarrollar, comprar y mantener aplicaciones
confiables, Conoce usted de esta entidad?
CUADRO Nº 10
PREGUNTA 5: ENCUESTA AL PERSONAL DE INFRAESTRUCTURA
DE LA CORPORACIÓN REGISTRO CIVILDE GUAYAQUIL
OPCIONES FRECUENCIA PORCENTAJE
SI 2 27%
NO 5 73%
TOTAL 7 100%
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Metodología 42
GRÁFICO Nº 5
CONOCIMIENTO DE OWASP
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Interpretación de los datos
Como se observa en el gráfico solo un 25% de la muestra de
estudio conoce de la Organización OWASP para el endurecimiento y
fortalecimiento de aplicaciones web, y el 75% desconoce de la misma.
Pregunta # 6
¿Considera usted que la utilización del Top 10 de OWASAP sería de
gran ayuda para fortalecer la información dentro de la Corporación
Registro Civil de Guayaquil y optimizar sus recursos?
CUADRO Nº 11
PREGUNTA 6: ENCUESTA AL PERSONAL DE INFRAESTRUCTURA
DE LA CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL
OPCIONES FRECUENCIA PORCENTAJE
SI 7 100%
NO 0 0%
TOTAL 7 100%
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Metodología 43
GRÁFICO Nº 6
UTILIZACIÓN DEL TOP 10 DE OWASAP
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Interpretación de los datos
El 100% de los encuestados consideran que el Top 10 de
OWASAP es de gran ayuda para el fortalecimiento del sitio web de la
Corporación Registro Civil de Guayaquil y resguardo de la información,
ayudando así a la optimización de sus recursos.
2.5 Diagrama de Casos de Uso
Se utiliza está herramienta con el propósito de evidenciar todo el
estudio ejecutado con los actores implicados en un diagrama detallado
con el comportamiento estratégico y funcional de los diversos procesos
implantados.
DIAGRAMA Nº 7
DIAGRAMA DE CASOS DE USO Nº 1
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Metodología 44
DIAGRAMA Nº 8
DIAGRAMA DE CASOS DE USO Nº 2
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
DIAGRAMA Nº 3
DIAGRAMA DE CASOS DE USO Nº 3
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Metodología 45
2.6 Escenario Actual de las aplicaciones web de la Empresa
Corporación Registro Civil de Guayaquil
Con el paso del tiempo los sistemas de diversas organizaciones
han progresado e integrado a su actividad sistemas informáticos esto se
debe a la mejora de las Tecnologías de la Información y la Comunicación
(TIC).
Por ende avalar la seguridad del sistema web encargado de brindar
servicios de Cedulación, inscripción y certificados de:
Nacimiento, difusión y matrimonios a los ciudadanos de la ciudad de
Guayaquil es de suma relevancia, pues de ello se acata la integridad,
privacidad y disponibilidad de la información recopilada en las
diferentes terminales de trabajo.
Una de las actividades que ofrece el aplicativo de la Corporación
Registro Civil de Guayaquil, es que mediante el ingreso al sitio web
pueden acceder los usuarios para consultar su información pero a su vez
existe un riesgo de amenaza de la información por virus y malware y
ciberataque.
Es por ello la necesidad de endurecer la infraestructura web del
mismo, con el fin de garantizar la seguridad de la información y que esta
no sea usada para objetivos ilícitos.
2.6.1 Tipos de Vulnerabilidades Generales
Metodología 46
El análisis efectuado por la herramienta Baseline Security Analyzer
encargada de comprobar el estado de seguridad según los protocolos de
seguridad de Microsoft arroja lo siguiente:
IMAGEN Nº 3
REPORTE DE VULNERABILIDADES GENERADO POR MBSA I
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Metodología 47
IMAGEN Nº 4
REPORTE DE VULNERABILIDADES GENERADO POR MBSA II
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
IMAGEN Nº 5
REPORTE DE VULNERABILIDADES GENERADO POR MBSA III
Metodología 48
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
CUADRO Nº 12
VULNERABILIDADES GENERADO POR MBA
Security Update Scan
Results
Silverlight Security Update
Se necesita actualizar el complemento.
Windows Update Security Se necesita parchar.
Windows Scan results
Automatic Update Se necesita administrar mejor las
actualizaciones.
Incomplete Update Se necesita reiniciar para que se apliquen los parches o updates.
Administrators Solo debe haber un usuario
administrador.
Paswword Epiration No hay cambio de password
asignada y por ende siempre van a tener el mismo password.
Windows Firewall El firewall de Windows no tiene excepciones esta por default.
Additional System
Information
Auditing No está habilitado el registro de ciertos eventos en el event view.
Services Los servicios están habilitados
por default.
Shares No debe haber carpetas
compartidas en servidores web.
Windows Versión Se muestra la versión del S.O.
Desktop Application
Scan Results
IE Enhanced Security Configuration for Administrators
No tiene login de dar permiso a los administradores.
IE Enhanced Security Configuration for Non-
Administrators
No tiene login de dar permiso a los usuarios normales.
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
2.7 Revisión de vulnerabilidades mediante OWASP Zed Attack
proxy (ZAP)
Esta plataforma está perfilada principalmente para monitorizar la
seguridad de sitios web en entidades siendo una de las herramientas del
proyecto más utilizadas referente a auditorías de seguridad.
Metodología 49
IMAGEN Nº 6
HERRAMIENTA OWASP ZED ATTACK PROXY (ZAP)
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
CUADRO Nº 13
RESUMEN DE VULNERABILIDADES POR OWASP ZED ATTACK
PROXY (ZAP)
Vulnerabilidades detectadas por herramienta OWASP Zed Attack proxy (ZAP)
Remote OS Command Inyection
Inyección de comandos.
Secure Pages Include Mixed Content (Including Scripts)
Páginas con contenido mixto.
X-Frame-Options Header Not Set Protección contra amenazas de ataque clickjacking.
Content-Type Header Missing Disminución de riesgos de seguridad tipo MIME.
Cookie No HttpOnly Flag Aplacamiento del ataque XSS más común empleando HttpOnly.
Cookie Without Secure Flag Validación de atributos de Cookies dentro del sitio web.
Cross-Domain JavaScript Source File Inclusion
Controles de acceso de seguridad.
Incomplete or No Cache-control and Pragma HTTP Header Set
Autenticación web, gestión de sesiones y control de acceso.
Metodología 50
Web Browser XSS Protection Not Enabled
Reglas de prevención XXS.
X-Content-Type-Options Header Missing
Disminución de riesgos de seguridad tipo MIME.
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
IMAGEN Nº 7
REVISIÒN DE VULNERABILIDADES DE RED SCANEO DE PUERTOS
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
IMAGEN Nº 8
FICHERO ROBOTS.TXT GENERADO MEDIANTE WGET
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
El fichero robots.txt se obtiene del directorio raíz del servidor web.
Por ejemplo, para descargar el fichero robots.txt de
www.corporacionregistrocivil.gob.ec mediante web.
Metodología 51
IMAGEN Nº 9
RECONOCIMIENTO MEDIANTE MOTORES DE BUSQUEDA (OWASP-
IG-002)
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
2.8 Pruebas de gestión de configuración de la infraestructura
(OWASP-CM-003)
La seguridad de infraestructura del sitio web está definida por un
equipo perimetral con tecnología IPS la cual previene de ataques y
genera reportes de diferentes eventos de seguridad y a su vez está el
firewall externo que cuenta con la tecnología UTM la cual tiene asignada
los diferentes controles para la asignación de una DMZ donde está
publicado el servidor del sitio web.
2.9 Pruebas de SSL/TLS (OWASP-CM-001)
Metodología 52
IMAGEN Nº 10
PRUEBAS DE SSL/TLS (OWASP-CM
001)
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
El servidor del sitio web cuenta con certificado SSL versión 3
SHA256, emitido por la empresa thawte, Inc.
Los certificados SSL garantizan la privacidad de la información
proporcionada por el usuario mediante la encriptación, protegiendo de
esta manera el proceso de transmisión de datos entre el usuario y el
server. Siempre mejoran el esquema de seguridad que visualizan los
usuarios respecto a nuestro sitio web.
CAPÍTULO III
PROPUESTA
3.1. Título de la Propuesta
Aseguramiento Y Endurecimiento (Hardening) de la Infraestructura
del Sitio Web de la Corporación Registro Civil De Guayaquil
3.2. Objetivo
El objetivo del presente trabajo de tesis es implementar Hardening
a la infraestructura del sitio web de la Corporación Registro Civil de
Guayaquil analizando sus contenedores, procedimientos de instalación y
vulnerabilidades, mediante diversas herramientas de endurecimiento
entre las cuales se procederá a la utilización de las Recomendadas por la
Organización OWASP.
3.3 Propuesta opciones y recomendaciones de Hardening
3.3.1 Datos
Dentro del análisis de vulnerabilidades se pudo detectar que se
genera Remote OS Command Inyection o inyección de código el mismo
consiste en tratar de introducir código que es descifrado/desarrollado por
el aplicativo. Esta clase de ataque descarga la manipulación pobre de
datos no confiables. Para evitar este tipo de ataques se requiere autorizar
adecuadamente las entradas y salidas de la información de la siguiente
manera:
Propuesta 53
Caracteres aprobados (expresiones frecuentes, clases o
individualizadas)
Dimensión de los datos
Conjunto de identificaciones esperada.
3.3.2 Página
Otra vulnerabilidad encontrada en el sitio web es Secure Pages
Include Mixed Content o páginas de contenido mixto en este caso la
página web de la Corporación de Guayaquil combina el protocolo HTTPS
con contenido HTTP sin cifrar, en este caso la conexión solo estará
encriptada de manera parcial: la información sin cifrar está dispuesta a
recibir ataques de escaneando de información, por lo que resulta como
una conexión insegura. Por lo que se propone desactivar peticiones con
protocolos HTTP y remplazarlas por contenido servido por medio de
HTTPS.
3.3.3 Aplicación
Se requiere implementar medidas de protección contra amenazas
de ataque click hacking según el análisis de vulnerabilidades la aplicación
es sensible a la misma.
Esta clase de ataques engaña al usuario haciéndole creer que está
efectuando operaciones sobre un aplicativo web pero en realidad está
operando sobre un marco sobrepuesto diseñado por un atacante.
Por lo tanto, para impedir que las páginas de la aplicación web de
la Corporación de Guayaquil logren ser infiltradas y soportar ataques de
click hacking se propone implementar medidas entre las cuales está
puntualizar el campo X-Frame-Options en los encabezados de respuesta
HTTP.
Propuesta 54
En la siguiente imagen observamos cómo se visualiza el campo X-
Frame-Options en una respuesta HTTP:
IMAGEN Nº 11
CÓMO SE VISUALIZA EL CAMPO X-FRAME-OPTIONS EN UNA
RESPUESTA HTTP
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
3.3.4 Disminución de riesgos de seguridad tipo MIME
Con el fin de reducir este tipo de riesgos se propone que el servidor
envié como encabezado de respuesta "X-Content-Type-Options: nosniff".
La misma se basa en una particularidad de seguridad que frena los
ataques fundamentados en el desorden de los prototipos MIME.
Este cambio altera el procedimiento del navegador cuando el
servidor remite el encabezado "X-Content-Type-Options: nosniff" en sus
contestaciones.
Propuesta 55
Si la directiva "nosniff" se toma en una contestación recogida por
un informe styleSheet, Windows Internet Explorer no cargará el archivo
"stylesheet. Sin embargo si adopta una contestación recobrada por un
informe script, Internet Explorer no cargará el archivo "script" excepto que
el tipo MIME concuerde con al menos uno de los siguientes valores:
IMAGEN Nº 12
DISMINUCIÓN DE RIESGOS DE SEGURIDAD TIPO MIME
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
3.3.5 Aplacamiento del ataque XSS más común empleando HttpOnly
Mayormente los ataques de tipo XSS proceden al hurto de cookies
por sesión. El servidor puede protegerlo amenorando este problema
instaurando en el indicador HttpOnly una cookie que establece,
mostrando que la cookie no tiene que ser asequible en el cliente.
Si un explorador que acepta HttpOnly muestra una cookie que
abarca el indicador HttpOnly y el código de cliente pretende leer la cookie
el explorador reintegra una sucesión vacía como respuesta. Lo que logra
que el ataque no tenga éxito y frena que el código malicioso remita los
datos a la página web de un atacante.
Propuesta 56
Se logra implementar HttpOnly con las siguientes herramientas:
Java Enterprise Edition 6 (JEE 6)
.NET 2.0
Python (CherryPy)
PHP
Navegadores que permiten HttpOnly:
CUADRO Nº 14
NAVEGADORES QUE PERMITEN HTTPONLY
Fuente: http://www.owasp.org/index.php/HttpOnly Elaborado por: Joza Calderón Danny John
3.3.5.1 Prueba de exploradores Web para soporte HttpOnly
La siguiente prueba fue llevada a cabo en los exploradores web
Internet Explorer 7 y Opera 9.22.
Deshabilitar HttpOnly
1. Se escoge la opción para desactivar HttpOnly
Propuesta 57
IMAGEN Nº 13
DESACTIVACIÓN DE HTTPONLY
Fuente: http://www.owasp.org/index.php/HttpOnly Elaborado por: Joza Calderón Danny John
1. Luego de deshabilitar HttpOnly, se escoge el botón “Leer Cookies” se
muestra un cuadro de dialogo como mensaje de alerta que comunicará
que el HttpOnly no se encontraba activado, la cookie 'unique2u' se
analizó correctamente como se presenta en la siguiente imagen:
IMAGEN Nº 14
COOKIE CON ÉXITO LEIDO CON HTTPONLY APAGADO
Fuente: http://www.owasp.org/index.php/HttpOnly Elaborado por: Joza Calderón Danny John
2. Como el HttpOnly se encuentra deshabilitado, se escoge el botón
“Escribir Cookie” en donde se presentará un cuadro de diálogo
informando que al no estar activado HttpOnly, la cookie 'unique2u' se
cambió exitosamente en el lado del cliente.
IMAGEN Nº 15
COOKIE ESCRITO CON ÉXITO CON HTTPONLY OFF
Fuente: http://www.owasp.org/index.php/HttpOnly Elaborado por: Joza Calderón Danny John
Propuesta 58
Como se pude observar, navegar sin HttpOnly se ha convertido en
una amenaza potencial. Por lo que se procederá seguidamente, a activar
HttpOnly para exponer como dicho indicador resguarda la cookie.
Habilitar HttpOnly
3. Se procede a escoger el botón de opción activar HttpOnly como se
presenta en la siguiente imagen:
IMAGEN Nº 16
ACTIVACIÓN DE HTTPONLY
Fuente: http://www.owasp.org/index.php/HttpOnly Elaborado por: Joza Calderón Danny John
4. Luego de activar HttpOnly, se escoge el botón “Leer Cookie”. si el
explorador cumple cabalmente con el indicador HttpOnly, se presentará
sólo el ID de sesión como se ilustra en la siguiente imagen:
IMAGEN Nº 17
PROTECCIÓN DE LECTURA DE COOKIE FORZADA
Fuente: http://www.owasp.org/index.php/HttpOnly Elaborado por: Joza Calderón Danny John
Propuesta 59
Si el navegador no ejecuta correctamente el indicador HttpOnly, se
presentará un cuadro de diálogo de alerta que indica la cookie 'unique2u'
y el ID de sesión que se manifiesta a seguidamente:
IMAGEN Nº 18
PROTECIÓN DE LECTURA DE COOKIES NO REFORZADA
Fuente: http://www.owasp.org/index.php/HttpOnly Elaborado por: Joza Calderón Danny John
5. Escoger el Botón “Escribir Cookie”. Si el explorador cumple
correctamente con el indicador HttpOnly, la alteración del lado del
cliente no se efectuará por escrito en la cookie 'unique2u' y se mostrará
un mensaje de alerta que abarca el ID de la sesión.
IMAGEN Nº 19
PROTECCIÓN CONTRA ESCRITURA DE COOKIE FORZADA
Fuente: http://www.owasp.org/index.php/HttpOnly Elaborado por: Joza Calderón Danny John
En caso de que el navegador no aplique la propiedad de protección
contra escritura HttpOnly para cookie 'unique2u', la misma se actualizará
correctamente en el lado del cliente.
Propuesta 60
IMAGEN Nº 20
PROTECCIÓN CONTRA ESCRITURA DE COOKIES NO REFORZADA
Fuente: http://www.owasp.org/index.php/HttpOnly Elaborado por: Joza Calderón Danny John
3.3.6 Prueba de atributos de Cookies (OTG-SESS-002)
Para la validación de atributos de Cookies dentro del sitio web de la
Corporación Registro Civil de Guayaquil se propone realizar Prueba de
las debilidades de las propiedades de cookie por medio de la utilización
de un proxi de contención o de un complemento de explorador de
interposición de tráfico, obstruir todas las respuestas en las que el
aplicativo escoge una cookie y examinar la cookie para lo siguiente:
Propiedad segura: cuando una cookie abarca información personal se
requiere el uso de un túnel de encriptación.
Propiedad HttpOnly: esta propiedad debe implantarse aunque todos los
exploradores lo acepten. esta propiedad ayuda a evitar que la cookie
ingrese por medio de una secuencia de instrucciones del lado del
cliente, se encarga de eliminar ciertos segmentos de explotación.
Propiedad de dominio: evidenciar que el dominio no se ha determinado
exageradamente.
Propiedad de ruta: compruebe que la propiedad path igualmente que la
propiedad Dominio, no se haya determinado demasiado libre.
Caduca la propiedad: Si esta propiedad se implanta en el futuro
verificar que la cookie no abarque ninguna información personal.
Propuesta 61
3.3.6.1 Controles de acceso de seguridad
Con el fin de salvaguardar la información del sitio web de la
Corporación de Guayaquil se propone aplicar controles de acceso de
seguridad cada vez que se procede a la creación de sesiones e inicio de
sesión.
Atributos de ID de sesión: Para la implantación de identificadores de
sesión seguros, la concepción de identificadores debe de verificar las
siguientes propiedades:
1. ID de la sesión Nombre Fingerprinting: El seudónimo manejado
por el identificador de sesión no tiene que ser considerablemente
representativo ni brindar detalles redundantes en cuanto a la
intención y el significado de la identificación.
2. Longitud de ID de sesión: El identificador de la sesión tiene que
ser bastantemente extenso con el objetivo de impedir ataques de
fuerza bruta, en la cual el agresor logra transitar toda la progresión
de valores de ID y comprobar la efectividad de sesiones seguras.
3. Entropía de ID de sesión: El ID de la sesión debe ser aleatorio
con el objetivo de impedir ataques de adivinación, en el cual el
atacante es capaz de descifrar el ID de una sesión mediante
procedimientos de estudios estadísticos.
4. Contenido de ID de sesión: El ID de sesión deber ser
estrictamente un identificador de lado del cliente, y su contenido no
debe abarcar datos sensibles.
3.3.7 Reglas de prevención XXS
Para el fortalecimiento del sitio web de la Corporación Registro Civil
de Guayaquil se propone la implementación de reglas simples con el
objetivo de protegerse contra un ataque XXS.
Propuesta 62
3.3.7.1 Regla # 0 Nunca implante datos confidenciales
exceptuados en establecimientos accesibles
Una de las primeras reglas es la negación de todo no ingrese datos
no confiados en su documento HTML excepto que se encuentre dentro de
las ranuras puntualizadas en la Regla # 1 a la # 5.
IMAGEN Nº 21
REGLA # 0 NUNCA IMPLANTE DATOS CONFIDENCIALES
EXCEPTUADOS EN ESTABLECIMIENTOS ACCESIBLES
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
3.3.7.2 Regla # 1 Escape HTML antes de implantar datos no
confiados en el contenido del componente HTML
La regla # 1 es en el caso que se desea colocar datos no
confiables concisamente en el cuerpo del HTML. Lo que involucra los
protocolos div, p, b, etc. mayormente los frameworks web que poseen
mecanismos de escape HTML para representaciones definidos
seguidamente.
.
IMAGEN Nº 22
REGLA # 1 ESCAPE HTML ANTES DE IMPLANTAR DATOS NO
CONFIADOS EN EL CONTENIDO DEL COMPONENTE HTML
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Propuesta 63
3.3.7.3 Regla # 2 Escape de propiedad antes de implantar datos no
confiable en HTML propiedades frecuentes
La regla # 2 permite colocar datos no confiables en valores de
propiedades característicos como amplitud, seudónimo, valor, etc. El
mismo no debe emplearse para propiedades complicadas.
IMAGEN Nº 23
REGLA # 2 ESCAPE DE PROPIEDAD ANTES DE IMPLANTAR DATOS
NO CONFIABLE EN HTML PROPIEDADES FRECUENTES
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
3.3.7.4 Regla # 3 Escape de JavaScript antes de implantar datos no
confiables en valores de datos
La regla # 3 hace referencia al código JavaScript creado
activamente: componentes de secuencia de instrucciones y propiedades
de examinador de eventos. El único sitio seguro para colocar datos no
confiados en dicho código es centralmente en un valor de datos.
IMAGEN Nº 24
REGLA # 3 ESCAPE DE JAVASCRIPT ANTES DE IMPLANTAR
DATOS NO CONFIABLES EN VALORES DE DATOS
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Propuesta 64
3.3.7.5 Regla # 4 CSS Escape riguroso validar antes de implantar
datos no fidedignos en valores de atributos de estilo HTLML
La regla # 4 se debe emplear cuando se requiere implantar datos
no confiables en una página de estilo. CSS es una herramienta poderosa,
y puede ser manipulado para diversos ataques. Por lo cual, es de suma
relevancia utilizar datos no confiables en un valor de atributos y no en
otros sitios en las hojas de estilo.
IMAGEN Nº 25
REGLA # 4 CSS ESCAPE RIGUROSO VALIDAR ANTES DE
IMPLANTAR DATOS NO FIDEDIGNOS EN VALORES DE ATRIBUTOS
DE ESTILO HTLML
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
3.3.7.6 Regla # 5 Escape de URL antes de implantar datos no
fidedignos en valores de cuantificación de URL HTML
La regla # 5 se puede emplear para colocar datos no confiables en
el valor de cuantificación HTTP GET.
IMAGEN Nº 26
REGLA # 5 ESCAPE DE URL ANTES DE IMPLANTAR DATOS NO
FIDEDIGNOS EN VALORES DE CUANTIFICACIÓN DE URL HTML
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Propuesta 65
3.3.7.7 Regla # 6 Gestionar el marcado HTML con un archivo
delineado para el trabajo
Si el aplicativo maneja el marcado suele ser muy complejo de
validar. La programación también es compleja, debido a que involucra
fragmentar todas las etiquetas que se encuentran en la entrada. Por lo
que se requiere una biblioteca que logre examinar y limpiar texto.
IMAGEN Nº 27
REGLA # 6 GESTIONAR EL MARCADO HTML CON UN ARCHIVO
DELINEADO PARA EL TRABAJO
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Según El análisis de seguridad efectuado por la herramienta
Microsoft Baseline Security Analyzer se pudo detectar ciertas
vulnerabilidades del sistema por lo cual se propone las siguientes
acciones a aplicar:
3.3.8 Actualizar complemento de Silverlight Security Update
Se debe tener actualizado por medidas de seguridad el
complemento ya que además de proveer funciones de multimedia este es
vulnerable a ataques x, continua desfase de actualización del mismo.
Propuesta 66
3.3.9 Parchar Windows Update Security
Microsoft propone parchar constantemente sus productos ya sean
desde equipos con sistemas operativos de escritorios hasta servidores
debido a que continuamente existen amenazas que aprovechan estas
vulnerabilidades de sistemas Operativos para poder ingresar a los
sistemas.
Generalmente se debe aplicar parches de seguridad y de sistemas
operativos que son los más importantes, no hay que olvidar que también
se debe instalar las últimas versiones de los parches o actualizaciones es
contraproducente ya que saben provocar inestabilidad en los sistemas
operativos lo recomendable seria parchar cada 15 días o mensualmente.
3.3.10 Administrar mejor las actualizaciones de Automatic
Update
Con respecto a la forma de descargar las actualizaciones se debe
tomar en consideración una solución Administrable que aplique los
parches necesarios como System Center 2012 R2 o WSUS ya evitaremos
la tarea de hacerlo manualmente servidor por servidor y a su vez
evitaremos el excesivo consumo de ancho de banda.
3.3.11 Solo debe haber un usuario administrador.
En el servidor localmente debe contar con una sola cuenta
administrador con la complejidad necesaria como mayor a 8 dígitos y
debe contener caracteres especiales números y por los menos una letra
Mayúsculas.
Adicional el resto de cuenta debe ser manejada por Controlador de
Dominio como cuentas de servicios o en su defecto cuentas de soporte
para poder tener una mejor administración de las seguridades.
Propuesta 67
3.3.12 El firewall de Windows no tiene excepciones esta por
default
El Firewall de Windows generalmente en versiones anteriores de la
gama de servidores se desactivaba ya que no permitía explotación de sus
funciones como reglas de ingreso o salida, actualmente en as versión de
Windows server 2012 es más administrable por lo que se puede hacer un
filtrado de ciertos protocolos validando la necesidad de nuestro servidor
en este caso se podría activar y darle permiso a las conexiones remotas
de dominio y los protocolos 80 y 443 que son los que generalmente
maneja las peticiones de internet.
3.3.13 Habilitar el registro de ciertos eventos en el event view
En esta parte se manejaría por GPO de seguridad a nivel de
dominio donde se habilitaría el registro de los siguientes eventos:
Inicio de sesión de cuenta
Administración de cuentas
Seguimiento detallado
Acceso DS
Inicio de sesión o cierre de sesión
System (Sistema)
Acceso a objetos
3.3.14 Los servicios no deben estar habilitados por default
Los servidores Windows por lo general vienen con los servicios
activados por default, en este caso como es un servidor web se debería
deshabilitar los siguientes servicios comunes:
Telnet
Propuesta 68
FTP
SMTP
NNTP
Printer
Shared
3.3.15 No debe haber carpetas compartidas en servidores web
Los servidores Windows tienen la facilidad de compartir recursos
con el fin de poder verlos en otros servidores, pero cuando se trata de un
servidor web el cual va a estar presentado en internet este no debería
compartir ningún recurso ya que los atacantes lo pueden utilizar como
medio para causar un ataque masivo de los demás servidores.
3.3.16 No tiene login de dar permiso a los administradores y
usuarios normales
Por default viene habilitado ya que previene ataques de sitios web
mal intencionados, pero al estar habilitado al navegar en ciertos sitios web
no lo muestra correctamente por lo que la mayoría de los administradores
lo deshabilita, pero en este caso el servidor web solo va a prestar un
servicio y no va a navegar en internet por lo que debería quedar
habilitado.
3.4 Estudio de factibilidad
Una vez que se han estudiado las encuestas realizadas al personal
de infraestructura de la Corporación Registro Civil de Guayaquil en donde
se pudo concluir que dan un punto de vista favorable para la
implementación de Hardening en la infraestructura del sitio web, en donde
se logra constatar que el proyecto es factible en concordancia con todas
las medidas tomadas en cuenta para la resolución del actual ofrecimiento.
Propuesta 69
3.4.1 Factibilidad técnica
Para que el proyecto en proceso se desarrolle y funcione de
manera eficiente, es necesario cumplir con detalles técnicos tanto en
componente hardware como software, la Corporación Registro Civil de
Guayaquil cuenta con componentes de computación en sus instalaciones
las mismas se encuentran a disposición para ser manejados y para la
correcta implementación de Hardening en la infraestructura del sitio web
de la entidad. Seguidamente se describen las características técnicas de
los componentes de computación que se encuentran en el departamento
IT de la Corporación Registro Civil de Guayaquil las mismas utilizadas por
el personal IT.
CUADRO Nº 15
CARACTERISTICAS TÉCNICAS DE ORDENADOR DE USUARIO
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Para la implementación de Hardening se detalla lo siguiente:
Propuesta 70
1. Los equipos que posee la Corporación Registro Civil de Guayaquil
cumplen con las características requeridas para la implementación y
funcionamiento óptimo del Hardening a aplicar en la infraestructura del
sitio web.
2. Se utiliza una máquina virtual con el sistema operativo KALI 2.0 el
mismo contiene la suite de testeo de la OWASAP.
3. Se utiliza herramientas Microsoft como MBA (Microsoft Base Analizer).
La técnica es elaborable de implementar en la infraestructura del
sitio web de la entidad, debido a que la misma cumple con los
requerimientos y los detalles técnicos.
3.4.2 Factibilidad económica
Los elementos técnicos y humanos requeridos para la
implementación del actual proyecto se describen a continuación:
Una laptop Hp Core i 7 con 12 GB de RAM
Como valoración de la factibilidad económica se genera lo
siguiente:
El costo de elementos hardware será nulo debido a que la Corporación
Registro Civil de Guayaquil consta con dichos recursos.
El costo de software y licencias no tendrá ningún costo ya que son
herramientas open source.
Las licencias para los sistemas operativos están abarcadas desde el
instante en que se obtuvieron los equipos.
Propuesta 71
Los costos referentes a Recursos humanos de describen seguidamente
en horas hombre para la implementación de Hardening en el sitio web
de la Corporación Registro Civil de Guayaquil.
CUADRO Nº 16
RECURSOS HUMANOS
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Económicamente es factible ya que no se requiere gastos
agregados de hardware y software la implementación de Hardening
llevada a cabo será ejecutada por el investigador del actual proyecto para
la Corporación Registro Civil de Guayaquil.
3.4.3 Factibilidad operacional
El valor agregado más importante que se obtendrá con la
implementación de Hardening en el sitio web de la Corporación Registro
Civil de Guayaquil, es que la información confidencial manejada dentro
del sistema estará salvaguardada evitando ataques cibernéticos de toda
índole como virus informáticos, métodos de infección, etc.
Para su ejecución se llevó a cabo lo siguiente:
Determinar áreas de vulnerabilidad de la infraestructura de sitio web
con sus respectivas acciones y afectaciones.
Formalizar procedimientos y monitoreo de las vulnerabilidades más
comunes en la web.
Propuesta 72
Realizar pruebas sobre los sistemas operativos del hardware para
determinar sus vulnerabilidades, mediante herramientas de testeo
(Software).
Mantener los servicios del sitio web actualizados para mitigar futuros
ciberataques.
Planteado esto, se determina que es totalmente factible su
implementación desde la perspectiva operacional la implementación de
Hardening en la infraestructura del sitio web de la Corporación Registro
Civil de Guayaquil.
3.4.4 Impacto
Seguidamente se detalla el impacto que recibirá la Corporación de
Guayaquil:
a) Con la implementación de Hardening en la infraestructura del sitio web
de la Corporación Registro Civil de Guayaquil se reducirán de manera
significativa posibles ataques cibernéticos en el aplicativo. Evitando así
consecuencias de seguridad como robo de la información, infección por
virus informáticos, etc.
b) Se mejorará el proceso de monitoreo de detección de amenazas en el
sitio web, salvaguardando así de manera más óptima y eficiente la
información confidencial, por lo cual los clientes al acceder a la
aplicación correrán menos riesgos de ataques cibernéticos.
3.5 Conclusiones
El Hardening implementado lograra minimizar las vulnerabilidades
detectadas, la localización y atenuación de las fragilidades debe ser
específico para cada sistema operativo, como resultado del Hardening
aplicado se puede determinar que las vulnerabilidades pueden
Propuesta 73
minimizarse, si bien a diario se van creando nuevos tipos de amenaza
para sitios web y a pesar de poseer una distribución lógica preparada
para la mayor parte de envestidas informáticas los atacantes
constantemente hallan algún hueco de seguridad por donde acceden,
cabe reiterar que ningún sitio web es 100% seguro, lo que efectúa el
proceso de Hardening es minimizar el riesgo en caso que se presente
algún inconveniente todo esto dependerá de componentes técnicos y
elementos humanos.
En las pruebas efectuadas de vulnerabilidades en el sitio web de la
Corporación Registro Civil de Guayaquil se puede constatar que los
mismos pueden ser exitosos si no se toman las medidas sistemáticas
apropiadas, es suficiente con analizar las vulnerabilidades de datos o de
aplicación como tal para vulnerar el sitio web y que el mismo se vea
comprometido. El actual estudio se basó en las vulnerabilidades
existentes generadas por las herramientas de OWASP y el análisis de
vulnerabilidades efectuadas por la herramienta Microsoft Baseline
Security Analyzer muchas de estas vulnerabilidades trata de actualización
de componentes, creación de parches para la eliminación de la
vulnerabilidad, amenazas de ataque click hacking, contenido de páginas
mixtas , etc.
3.6 Recomendaciones
El Hardening implementado en sitios web debe fortalecer la
seguridad a nivel de usuario, habitualmente el usuario final resulta ser el
más vulnerable en el manejo de la seguridad informática, se recomienda
capacitaciones de inducción para la utilización segura de los sistemas
informáticos.
El presente Hardening aplicado en el sitio web de la Corporación
Registro Civil de Guayaquil logró minimizar las vulnerabilidades
Propuesta 74
detectadas por lo que se recomienda fortalecer la seguridad con
aplicaciones adicionales como antivirus, antimalware y administradores
consolidados de amenazas, la combinación de diferentes capas de
seguridad comprimirán el riesgo de ataques informáticos.
ANEXOS
Anexos 75
ANEXO N° 1
ENCUESTA
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE INGENIERÍA INDUSTRIAL
Formato de encuesta
Empresa: Corporación Registro Civil de Guayaquil
Fecha: 22/08/2017
Preguntas:
1) ¿Piensa usted que la información en el sitio web de la
Corporación Registro Civil de Guayaquil es sensible a los
hackers o individuos mal intencionados que podrían
afectarlas?
SI NO
2) ¿Considera usted que la información que se manipula dentro
del Municipio Corporación Registro Civil de Guayaquil es
segura?
SI NO
3) ¿Se ha presentado hurto de información en el sitio web de la
Corporación Registro Civil de Guayaquil?
SI NO
Anexos 76
4) ¿Piensa usted que la implementación de Hardening en el sitio
web de la Corporación Registro Civil de Guayaquil mediante
el uso de OWASP será una solución viable para el resguardo
y aseguramiento de la información dentro de la entidad?
DE A CUERDO
PARCIALMENTE DE ACUERDO
EN DESACUERDO
5) ¿OWASP es una comunidad abierta dedicada a habilitar a las
organizaciones para desarrollar, comprar y mantener
aplicaciones confiables, Conoce usted de esta entidad?
SI NO
6) ¿Considera usted que la utilización del Top 10 de OWASAP
sería de gran ayuda para fortalecer la información dentro de
la Corporación Registro Civil de Guayaquil y optimizar sus
recursos?
SI NO
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
Anexos 77
ANEXO N° 2
CRONOGRAMA DE ACTIVIDADES
Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John
BIBLIOGRAFÍA
Albacete, J. F. (5 de 06 de 2015). Seguridad en equipos informáticos.
IFCT0510. Obtenido de Seguridad en equipos informáticos.
IFCT0510:
https://books.google.com.ec/books?id=GK_KCQAAQBAJ&dq=defin
icion+de+DMZ+en+redes&source=gbs_navlinks_s
Benito, F. G. (04 de 06 de 2014). Universidad de Valladolid. Obtenido de
Universidad de Valladolid: http://index-of.co.uk/USB/PFC-B.14.pdf
Bisquerra.R. (1989). UNIVERSIDAD NACIONAL ABIERTA. Obtenido de
UNIVERSIDAD NACIONAL ABIERTA:
http://dip.una.edu.ve/mead/metodologia1/Lecturas/bisquerra2.pdf
Bonnet, N. (2013). Ediciones ENI. Obtenido de
https://books.google.com.ec/books?id=x9bXoUpBUzQC&printsec=f
rontcover&dq=que+es+windows+server+2012&hl=es&sa=X&redir_
esc=y#v=onepage&q=que%20es%20windows%20server%202012
&f=false
Casas. (2017).
Cazau, P. (03 de 2006). Obtenido de
http://alcazaba.unex.es/asg/400758/MATERIALES/INTRODUCCI%
C3%93N%20A%20LA%20INVESTIGACI%C3%93N%20EN%20CC
.SS..pdf
CISCO. (2016). Obtenido de
https://www.cisco.com/c/es_mx/support/docs/ip/routing-information-
protocol-rip/13788-3.html
Bibliografía 79
CISCO. (2017). CISCO. Obtenido de CISCO:
https://www.cisco.com/c/es_mx/products/security/firewalls/what-is-
a-firewall.html
García, Á. L. (29 de 10 de 2015). Gestión de redes telemáticas.
IFCT0410 . Obtenido de Gestión de redes telemáticas. IFCT0410 :
https://books.google.com.ec/books?id=dDPTCgAAQBAJ&pg=PT10
6&dq=definicion+de+Protocolos+en+redes&hl=es-
419&sa=X&ved=0ahUKEwjq_PC_ir_VAhUD5SYKHRC7DeU4ChD
oAQgoMAE#v=onepage&q=definicion%20de%20Protocolos%20en
%20redes&f=false
J., C., & Date. (2001). Pearson Educación. Obtenido de
https://books.google.com.ec/books?id=Vhum351T-
K8C&dq=isbn:9684444192&hl=es&source=gbs_navlinks_s
Jara, & Pacheco. (2012).
Luján, M. S. (2002). Editorial Club Universitario. Obtenido de Editorial
Club Universitario:
https://books.google.com.ec/books?id=r9CqDYh2-
loC&pg=PA62&lpg=PA62&dq=que+es+un+sitio+web&source=bl&ot
s=MjwPVn4UJZ&sig=x635KhyOCP7WN0ddG9frbu_YL2I&hl=es&s
a=X&redir_esc=y#v=onepage&q=que%20es%20un%20sitio%20we
b&f=false
Microsoft. (2017). Microsoft. Obtenido de Microsoft:
https://msdn.microsoft.com/es-es/library/bb545450.aspx
Microsoft, S. (2017). Obtenido de https://support.microsoft.com/es-
es/help/550559
Bibliografía 80
Morone, G. (12 de 06 de 2012). Obtenido de
http://biblioteca.ucv.cl/site/servicios/documentos/metodologias_inve
stigacion.pdf
OWASP. (06 de 06 de 2016). Obtenido de
https://www.owasp.org/index.php/Category:Vulnerability
OWASP. (13 de 07 de 2017). OWASP. Obtenido de OWASP:
https://www.owasp.org/index.php/About_The_Open_Web_Applicati
on_Security_Project#The_OWASP_Foundation
OWASP, F. (2017). OWASP. Obtenido de OWASP:
https://www.owasp.org/index.php/Top_10_2017-Top_10
OWASP, G. d. (13 de 07 de 2017). Obtenido de
https://www.owasp.org/index.php/About_The_Open_Web_Applicati
on_Security_Project#The_OWASP_Foundation
OWASP-CISO. (17 de 03 de 2015). OWASP. Obtenido de OWASP:
https://www.owasp.org/images/1/19/Owasp-ciso-guide_es.pdf
Proxy, O. Z. (09 de 08 de 2017). Obtenido de
https://translate.googleusercontent.com/translate_c?depth=1&hl=es
&prev=search&rurl=translate.google.com.ec&sl=en&sp=nmt4&u=htt
ps://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
&usg=ALkJrhguW60hoAyeermMyZK8u4XU4Ale2w
Quintero, E. B. (29 de 10 de 2015). Equipos de interconexión y servicios
de red. IFCT0410. Obtenido de Equipos de interconexión y
servicios de red. IFCT0410:
https://books.google.com.ec/books?id=CDTTCgAAQBAJ&pg=PT72
&dq=definicion+de+NAT+en+redes&hl=es-
Bibliografía 81
419&sa=X&ved=0ahUKEwjXi5OMoL_VAhXEYiYKHRjqCAwQ6AEI
JTAA#v=onepage&q=definicion%20de%20NAT%20en%20redes&f
=false
Rault, R., Schalkwijk, L., Acissi, Agé, M., Crocfer, N., Crocfer, R., . . .
Lasson, S. (1 de 09 de 2015). EDICIONES ENI . Obtenido de
EDICIONES ENI :
https://books.google.com.ec/books?id=4X32wbgtNfUC&printsec=fr
ontcover&dq=isbn:2746097249&hl=es&sa=X&redir_esc=y#v=onep
age&q=hacking&f=false
Rodríguez, M. (11 de 2016). Obtenido de
https://backtrackacademy.com/articulo/auditoria-de-infraestructura-
de-tecnologia-de-informacion-basado-en-estandares-buenas-
practicas
Sanchéz, E. P. (03 de 06 de 2013). MAGAZCITUM. Obtenido de
MAGAZCITUM:
http://www.magazcitum.com.mx/?p=2109#.WaBqTT6GPIV
TechNet, M. (2017). Microsoft TechNet. Obtenido de Microsoft TechNet:
https://technet.microsoft.com/es-es/library/cc303422.aspx
Tejada, E. C. (5 de 06 de 2015). IC Editorial. Obtenido de IC Editorial:
https://books.google.com.ec/books?id=y63KCQAAQBAJ&dq=que+
es+IPS&source=gbs_navlinks_s
Toro, G. (04 de 01 de 2008). Obtenido de
https://we.riseup.net/assets/77169/Manual-de-uso-de-Nmap.pdf
Top Related